来自 数据 2021-04-06 14:09 的文章

服务器防攻击_如何防止_云防御高防cdn

服务器防攻击_如何防止_云防御高防cdn

图像文件执行选项(IFEO)用于调试。然而,恶意软件不仅检查是否有调试器处于活动状态,ddos攻击防御必须有带宽,神盾ddos云防御,而且众所周知,它还可以使用IFEO为自己提供的功能。意图IFEO设置存储在Windows注册表中。创建IFEO注册表项的目的是让开发人员可以选择调试他们的软件。这是相对容易做到的。开发人员可以使用注册表项将任何程序附加到任何可执行文件-HKEY U LOCAL U MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{可执行文件的名称}-增加价值"调试器"="{调试器的完整路径}"例如,如果使用Process Explorer,则有一个"替换任务管理器"选项:上述操作将生成以下相应的键和值:因此,如果使用Ctrl-Alt-Del和"启动任务管理器"或任何其他通常打开"任务管理器"的方法,Process Explorer也会打开。分析员不难想象这个选项对恶意软件分析师的用途。例如,如果您知道正在处理的恶意软件启动另一个可执行文件,如cmd、powershell或iexplore,则可以将其用作断点。而且很容易检查使用了哪些参数,高防cdn504错误,因为这些参数传递给了调试器。恶意软件对于恶意软件作者来说,对IFEO感兴趣的原因有几个:首先,它为您的代码提供了一个起点。你可以将你的可执行文件附加到一个流行的Windows可执行文件(最好是默认运行的),你的文件也会被运行。用户初始化.exe以及iexplore.exe是过去经常使用的例子。其次,您可以通过在所述软件的主可执行文件上附加调试器来干扰保护软件。一个"古老"的例子是Ushedix,它使用这种方法来禁用当时流行的大量安全程序。最后但并非最不重要的是,cc防御原理,恶意软件可以检查IFEO键下是否有任何非默认项,以此来确定它是否已登陆分析师机器,并相应地更改其行为。一些额外的背景资料如前所述,这些选项是用于调试的,但是由于无法检查"Debugger"值中列出的程序是否真的是调试器,ddos怎样防御,因此可能性很大。另一方面,您选择拦截的应用程序必须是可执行的。您也可以干扰DLL的正常行为,但必须使用值breakHandlLoad来完成此操作。它的处理方式完全不同,因为它不传递给另一个可执行文件或DLL。该值的唯一选项是"开"和"关"。Malwarebytes反恶意软件检查IFEO密钥中是否存在恶意条目,通常将它们检测为保安。劫持或者幼犬可选.IFEO并且能够移除它们。摘要图像文件执行选项用于拦截对可执行文件的调用。预期的用途是调试或替换应用程序,但将其用作一种简单地停止执行可执行文件的方法也是常见的做法。彼得阿恩茨