木马启动之映像劫持

最新推荐文章于 2024-09-06 11:46:14 发布
原创 最新推荐文章于 2024-09-06 11:46:14 发布 · 559 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #windows #microsoft

本文介绍了通过修改Windows注册表中的ImageFileExecutionOptions(IFEO)来实现calc.exe到cmd.exe的映像劫持,以此复现木马传播原理。实验过程包括理解映像劫持的概念,创建注册表项,以及展示实验结果,即在运行calc.exe时启动cmd.exe。实验加深了对IFEO功能及其被恶意软件利用方式的理解。

【实验目的】

1.通过实验,将calc.exe劫持为cmd.exe。复现木马传播的原理。

【实验要求

 1、通过修改注册表,新建calc.exe选项,并将其指向cmd.exe,以此实现目的。

【实验环境

  1. win10虚拟机

【实验作业
最低0.47元/天 解锁文章
内网渗透之权限维持-自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
m0_62207170的博客
05-19 1137
内网渗透之权限维持-自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
IFEO 映像文件劫持
aijuzhou1959的博客
04-04 464
映像劫持”,也被称为“IFEO”(Image File Execution Options) 映像劫持的根本就是被恶意篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。 比如如在这里新建一个子项notepad.exe,再在这子项里新建...
映像劫持技术
whl0071的专栏
04-28 1276
映像劫持技术
非常详细的映像劫持分析
weixin_33875564的博客
02-21 394
一. 奇怪的中毒现象在办公室的一台电脑上折腾半个小时后,电脑部的工程师只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死...
windows映像劫持技术(IFEO)
weixin_33816611的博客
01-19 496
基本症状:可能有朋友遇到过这样的情况。一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行或者是比如运行A却成了执行B,而改名后却可以正常运行的现象。既然我们是介绍IFEO技术相关,那我们就先介绍下:一,什么是映像胁持(IFEO)所谓的IFEO就是Image File Execution Options它是位于注册表的HKEY_LOCAL_M...
第143天:内网安全-权限维持&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
最新发布
weixin_71529930的博客
09-06 1188
案例一: 权限维持-域环境&单机版-自启动启动路径加载路径地址把木马程序上传到目标文件夹重启服务器自启动服务加载。
C#实现映像劫持程序及源码解析
攻击者可利用映像劫持将系统关键程序(如explorer.exe、svchost.exe)重定向至木马程序,从而实现持久化驻留,且常规杀毒软件难以察觉,因为原程序名称仍在任务管理器中显示正常。因此,该技术也常出现在高级持续性...
打造系统安全屏障:映像劫持修复工具详解
文件名称列表中的“映像劫持修复工具.exe”是该工具的可执行文件名,用户通过运行这个程序,即可启动映像劫持修复工具进行相关的检测和修复操作。在安装和使用任何修复工具时,都应该小心谨慎,确保工具的安全性和...
映像劫持技术 IFEO
zhouchibaooo的专栏
07-23 605
相关注册表项  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 方法: 新建项 被劫持的应用程序 (命令行指令) 项内新建字符串键 名为 Debugger  键值 劫持到的目标程序 (命令行指令) 一般都可查杀 机理 系统
权限持久化---映像劫持检测(Shift后门)
08-27 705
映像劫持说白了还是利用了windows的一些特性,当你点击可执行文件进行执行时,系统并不会直接就对可执行文件进行执行,而是首先对注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,这个路径下面如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。 比较常用的是.
IFEO映像劫持修复工具.rar
08-07
解决电脑映像劫持问题很好的小软件!以人格担保无毒!
IFEO映像劫持恢复工具
05-07
IFEO映像劫持恢复工具,可修复被恶意软件劫持映像
映像劫持(IFEO)的原理及实现
10-20 705
  映像劫持的根本原因就是被恶意程序篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 。   假如在这里新建一个子项notepad.exe,再在这子项里新建一个REG_SZ的名字为Debugger,内容为cmd.exe的值项。这样就会实现映...
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 302
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
映像劫持技术(IFEO)及其应用
AKe's blog
02-27 1314
映像劫持的定义    所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local syst
映像劫持病毒有什么现象及清除步骤
wenbingyeyu的专栏
11-24 1970
现象一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。故障现象检查故障机,重启时,很自然的想到启动到带
Windows映像劫持调试程序
huanhuanxiaoxiao的博客
03-20 905
简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在Windows NT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它
防范映像劫持(IFEO HIJACK)
onetpig的专栏
05-29 7554
由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。 关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。       基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把
52-3 权限维持 - IFEO注入(镜像劫持
weixin_43263566的博客
07-06 524
IFEO最初设计用于为在默认系统环境下可能出现错误的程序提供特殊的调试和执行环境。通过IFEO,开发人员可以将调试器附加到应用程序上,从而在应用程序启动时执行特定的调试操作。一、Debugger键值当用户启动一个程序时,系统会在IFEO注册表路径下查找与该程序名称对应的子键。如果找到匹配的子键,并且存在Debugger键值,则系统会使用该键值指定的程序路径来替代原始程序路径,从而实现映像劫持。示例命令如下,将sethc.exe的Debugger键值设置为cmd.exeCopy Code。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值