週一去客戶那裡處理一臺伺服器說是被人攻破中了***，檢視伺服器上只安裝了一個微點的防毒軟體（以前沒有聽說過），用慣了360下載並安裝，安裝過程中提示一個文字檔案（一個文字檔案語言不通順，懷疑是人為的，根據檔名jingao.txt找到了執行檔案jingao.exe將其刪掉），雙擊快捷方式系統提示檔案360safe未找到，我當時感到很奇妙，路徑和檔名都沒有問題，而且也有那個檔案，懷疑***做的手腳，開啟360安裝的所在目錄點選360safe檔案問題依舊，把檔名字修改一下，居然起來了。然後查殺發現的確有一個啟動項jingao.exe(已經被我刪除了。)透過360查殺發現問題，但是處理不掉，查處來的問題是映象劫持。安全模式下也試過不行。上網搜尋發現以下內容。

IIS7網站監控工具可以做到提前預防各類網站劫持，並且是免費線上查詢，適用於各大站長，有域名的人群，政府網站，學校，公司，醫院等網站。透過查詢知道域名是否健康等等。同時它可以讓你知道網站是否被黑，被入侵，被改標題，被掛黑鏈等等功能，讓你作為站長能清楚知道自己網站的健康情況！

它可以做到24小時定時監控：

1、網站是否被黑

2、網站是否被劫持

3、域名是否被牆

4、DNS是否被汙染

5、獨家檢測網站真實的完全開啟時間

檢測地址：

映象劫持的意義

在針對防毒軟體方面，OSO病毒還採用了一種新技術，這種技術被稱為映象劫持，透過這種技術也能夠將防毒軟體置於死地。

所謂的映象劫持，就是在登錄檔的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]處新建一個以防毒軟體主程式命名的項，例如Rav.exe。然後再建立一個子鍵“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以後只要使用者雙擊 Rav.exe就會執行OSO的病毒檔案ceffen.com，類似檔案關聯的效果。

映象劫持的簡單解決方法

如果電腦上有防毒軟體或360什麼的但是中了映象劫持是安全軟體無法執行的話，

其實只需要更改一下安全軟體的名字就能不被映象劫持利用，個人認為這是最適合初學者的最簡單辦法。

首先找到安全軟體的位置大部分都放在program files資料夾下。找到名字例如拿360做例子原檔案路徑X:\Program Files\360safe原名為360Safe.exe 你把名字改為36015safe.exe(名字什麼都行不過就不能是安全軟體的名字)然後雙擊此安全軟體就會過映象劫持開始執行，後面的查殺就不需要說什麼了吧。這小操作可以解決燃眉之急啦。問題解決了，在網上搜到的文章在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，下找到被禁止的啟動檔名，刪除即可。

但是病毒不會讓你輕而易舉的將鍵值刪掉，最好下載了一個金山的工具將其刪掉。

網站速度慢，網站速度慢，網站速度慢的幾種原因分析

映象劫持的簡單解決方法

相關文章