“输入法”被病毒映像劫持

2024年1月1日发(作者：)

“输入法”被病毒映像劫持“输入法”被病毒映像劫持

笔者最近遇到一个非常奇怪的问题:任务栏右下角输入法的图标不见，按ctrl+shift也无法切换输入法。唯一的办法只有将你想要的输入法设置成默认输入语言(图标仍不见)，但如果想换成其他输入法，得再次将这种输入法设置成默认输入语言。但这种治标不治本的办法始终都不是办法。为此，笔者根据以往经验尝试使用以下几种方法调出输入法图标，但最终未果。

1、查看语言栏:在任务栏单击鼠标右键，弹出快捷菜单，选择“工具栏”，查看“语言栏”有没有被选中，结果显示“语言栏”前面已经打“?”。

2、查看启动项:“开始?运行”，输入“msconfig”，回车，运行“系统配置实用程序”，在“启动”里查看“”是否选中，结果显示“”已经启动。

3、查看注册表:“开始?运行”，输入“regedit”，回车,依次展开HKEY_LOCAL_MACHINE/

Software/Microsoft/Windows/CurrentVersion/Run键，结果显示右边的键已经存在。

4、查看控制面板:在控制面板中选择“日期、时间、语言和区域设置”，选择“区域和语言选项”，弹出“区域和语言选项”对话框，选择“语言”标签，在“文字服务和输入语言”下选择“详细信息”按钮，弹出“文字服务和输入语言”对话框，选择“高级”标签，在“系统配置”下，结果确显示“关闭高级文字服务”已被选定(默认是没有选定的)。此时去掉“关闭高级文字服务”前面的

“?”，单击“确定”按钮。本以为可以把输入法调出来的，但最终那个图标还是

没有显示出来。按照刚才的方法再次进入设置，确看到一个奇怪的现象:“关闭高级文字服务”又被选定了。然后又反复操作几次，结果依然如故。

5、查看进程:打开任务管理器，检查是否有进程，结果显示进程没有运行。于是，在运行里输入“”，结果确提示“windows找不到”。难道文件不存在,干脆直接进入C:WINDOWSsystem32文件夹下查找这个文件，可感到意外的是文件又存在。然后双击它，但提示的结果还是“windows找不到”。

通过以上几种方法输入法图标还是没有出现。为此，笔者对第4、5点进行了分析，特别是第5点，怀疑文件有可能是被病毒劫持了。通过分析发现，有些病毒原来可以通过映像劫持来加载自己。映像劫持(IFEO)就是Image File

Execution Options，是系统自带的功能，位于注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/

CurrentVersion/Image File Execution

Options，这个项主要是用来调试应用程序的，对一般的用户来说没什么用。但病毒正是利用这点来做文章，前台看起来是在运行一个程序，实际上病毒已经在后台运行了。现在来看看输入法是怎样被劫持的,

映像劫持病毒主要通过修改注册表中的Image File Execution

options键来劫持进程。它会在上面键中新建一个同名项，在这个项下面新建一个字符串的键值debugger，内容是:

C:(如图1，病毒就隐藏在这个目录里)。这样，输入法就被劫持了。当运行文件的话，结果自然提示“windows找不到”，因为我们运行的不是一个程序，而是一个病毒，这个病毒只是隐藏在后台而已。

(图1)

找了问题的根本原因，所以解决的办法也就一目了然了，只要删除项即可。随后，运行文件，久违的输入法图标终于出现了。

此外，笔者对映像劫持病毒做进一步的分析，病毒劫持某个应用程序都会在Image File Execution

options键新建一个同名的项，如果我们设置权限禁止在Image File Execution

options键新建项，那就可以预防映像劫持病毒，具体操作如下:选中Image File

Execution

options键，点右键，选择权限，将Administrators组和SYSTEM组的完全控制都设为拒绝即可。