映像劫持 手動 解決方案

請記錄好Debugger指向的程序位置，也不要試圖再執行那些安全工具，首先應該嘗試刪除受影響的 IFEO項，然後刷新註冊表看看數據是否馬上恢復了，如果馬上恢復，則說明後臺裏有程序正在實時判斷和寫入IFEO，這時候必須拿出 Sysinternals出品的註冊表監控工具Regmon或類似工具，設置Filter爲你正在嘗試刪除的安全工具的IFEO項，很快就能發現具體是什麼進程在操作註冊表了，然後將IceSword改名（如果已經被劫持），在它的進程列表裏將相應進程終止掉。如果這個進程立即又重生了呢？再終止一次，然後迅速點擊IceSword的“監視進線程創建”，你就能發現上一次搗亂的程序是什麼名字了，將它記錄下來，再開啓一個Sysinternals的工具 “Process Explorer”，在對應進程上點擊右鍵選擇“Suspend”，這個進程就會被掛起，用IceSword和它配合把相關惡意進程都掛起後，再使用 IceSword的文件功能裏的“強制刪除”，在這個程序還沒來得及反應時就把它們的本體給殲滅，這時候再返回Process Explorer裏按照大小排列從最大的一個守護進程開始Kill Process即可，由於沒有了映像文件存在，它們意欲重新建立***帝國的賊心也就無法實現了。
如果查殺過程更爲複雜的話，請自行參閱相關文章，這裏就不再贅述了。
如此實現“免疫”？不被推薦的做法
由於AV終結者搞得人心惶惶，一時間網絡上開始流傳“免疫映像劫持”甚至“利用映像劫持免疫大部分常見病毒”的做法，對於這些方法的最初提供者，我相信他們的出發點是好的，只是，從嚴格的角度來看，這卻是不可取的。
首先是“免疫映像劫持”，具體的方法是，例如免疫威金病毒“logo_1.exe”，則在IFEO列表裏建立一個“logo_1.exe”項，然後設定它的 Debugger參數爲它自身即“logo_1.exe”，根據原作者解釋，其原理是遞歸死循環：“當Debugger的值等於本身時，就是調用自身來調試自己，結果自己不是調試器，又來一次，遞歸了，就進入了死循環，也就不能啓動了。”
這種方法雖然有效（最後的現象是“找不到文件”），但是它會導致系統在短時間內陷入一個CreateProcess循環和命令參數的字符串累加狀態，會消耗一定的資源，最終沒能執行程序是因爲系統使用 CreateProcess啓動的實例會被它自身代替執行，從而造成死循環，而且命令行的長度是有系統限制的，到一定範圍就會出錯了，尤其在可以接受命令行參數的程序裏，你甚至會發現硬盤狂轉了好一會兒才彈出錯誤提示，這段時間裏就是在死循環傳遞狀態了，最終由於超過系統限制的命令行長度而導致系統傳遞執行請求時出錯，才得以跳出這個死循環，換一個角度來看，如果系統沒有限制命令行長度，那麼這個操作很可能直接導致系統所有資源都消耗在這個自己反覆執行自己的“調試器”上了。
至於“利用映像劫持免疫大部分常見病毒”的做法，發起號召者模仿“映像劫持”後門屏蔽大部分常用安全工具的原理，蒐集了許多流行危害程序的可執行文件名加以前面提到的遞歸死循環方法達到目的，如果不計較前面提到的遞歸死循環缺點，似乎這個方法是可行的。
然而這真的可行嗎？世界上存在許多與某些系統文件同名同姓的社交型後門，如位置不同而名字相同的命令提示符輸入法控制程序“conime.exe”（被 OSO超級U盤病毒借用名字）、重要程序Rundll32.exe被某些***替換爲自身、甚至IE瀏覽器主體iexplore.exe也存在被***僞造文件名的案例，如此一來不知道多少正常的系統程序可能會被這份“免疫列表”給誤殺了，我僅僅粗略瀏覽了一下就發現msiexec.exe居然存在“免疫列表”中，要知道這可是微軟安裝程序的主執行體啊……
爭議話題：是否禁止IFEO列表權限？
同時，網上還流傳着一個讓初級用戶看不懂的做法，那就是關閉IFEO列表的寫入權限，具體操作如下：
?執行32位註冊表編輯器regedt32.exe
?定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
?確保焦點在Image File Execution Options上，選擇“安全”—“權限”
?將出現的用戶列表內所有帶有“寫入”的權限去掉，確定退出
這樣一來，任何對IFEO的寫入操作都失效了，也就起了免疫效果。這個方法對一般用戶而言還是不錯的，除非遭遇到一些特殊的需要往裏面寫入堆管理參數的程序，否則我建議一般用戶還是禁止此項，從而杜絕一切IFEO類病毒來襲。
而爭議正在於此，因爲從長計議來看，用戶很可能會遇到需要往IFEO列表裏寫入數據的正常程序，徹底禁止了IFEO的寫入可能會導致不可預見的後果，既然如此，我們就採取折中的方法好了，使用HIPS（主機***防禦系統）的註冊表防禦體系RD（Registry Defend），爲我們提供一種兩者都能兼顧的IFEO管理方法！
以SSM爲例，首先確保RD體系模塊已經開啓，然後添加新監視規則，“鍵路徑” 指向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，“操作”爲“當更改時報警”，記得“包含值”選上，最後把“子鍵深度最大值”設爲“3”，點擊確定生成新的監視規則，然後在“規則”主界面裏確保“存取”、“刪除”、“寫入”的操作均爲疑問狀態，這是表示在相關鍵值被進行寫入操作時彈出消息詢問用戶，最後點擊“應用設定”讓規則生效，從此只需開着SSM，映像劫持就離你遠去了。