一、IEFO简介
Image File Execution Options(IEFO,映像劫持)是现在许多恶意程序用来阻止诸如杀毒软件这样的系统安全防护软件启动的一种技术,甚至任务管理器taskmgr.exe,注册表编辑器regedit.exe也会被这种技术阻止而无法使用。至于IEFO的工作原因网上已有相关文章说明,这里不再详述。有兴趣的朋友可以Google一下。
在pe_xscan扫描的日志中,O26组会检测并报告IEFO项目,如:
O26 - IFEO: avp.exe -> ntsd -d 阻止卡巴斯基启动
O26 - IFEO: RavMon.exe -> ntsd -d 阻止瑞星启动
O26 - IFEO: regedit.exe -> ntsd -d 阻止注册表编辑器启动
O26 - IFEO: taskmgar.exe -> ntsd -d 阻止任务管理器启动
另一方面,我们也可以“以恶意程序之道,还治恶意程序其身”。通过添加恶意程序文件名的IEFO项目来阻止恶意程序启动。
二、IEFO_Man简介
虽然用注册表编辑器regedit.exe、瑞星卡卡安全助手等软件可以删除IEFO项目,但操作起来效率不高。而且这些软件本身也经常被劫持而无法启动。
而提供添加IEFO项目的软件则非常少见。
于是偶就用MASM32写了IEFO_Man,用来添加、删除、修改IEFO项目。
三、下载地址
1、http://purpleendurer.ys168.com 的 myworks/tools中的 IEFO_Man-0_0_0_1-beta1.rar,4KB
2、http://download.csdn.net/source/1064971
四、文件信息
文件说明符 : F:/MASM32/pe_works/IEFO_Man/1.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 0.0.0001 beta1
说明 : IEFO_Man
版权 : PurpleEndurer
产品版本 : 0.0.0001 beta1
产品名称 : IEFO_Man
公司名称 : PurpleEndurer
合法商标 : PurpleEndurer
内部名称 : IEFO_Man
源文件名 : IEFO_Man
创建时间 : 2009-3-3 12:10:20
修改时间 : 2009-3-3 20:46:31
大小 : 11264 字节 11.0 KB
MD5 : 85d9535bf715db3d26d9969b7d6598e3
SHA1: C214E618B88A59783341BD89F90D465859B553CC
CRC32: 3a3cee78
五、程序截图
