映像劫持-----程序重定向

最新推荐文章于 2021-05-23 18:39:50 发布
原创 最新推荐文章于 2021-05-23 18:39:50 发布 · 828 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#file #null #c

本文提供了一个关于映像劫持(Image File Execution Options)的示例代码,该代码展示了如何通过修改注册表项来指定特定进程的调试器。

有关HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options

映像劫持的示例代码~~~~

 

代码如下

#include <windows.h >
#include <iostream>

using namespace std;
void  main()
{     
 TCHAR  SubKeyName[] =  L"SOFTWARE//Microsoft//Windows NT//CurrentVersion//Image File Execution Options//taskmgr.exe";    
 DWORD  dwDisposition;
 HKEY   hKey;
 int createKeyReturn = RegCreateKeyEx(HKEY_LOCAL_MACHINE, SubKeyName, 0, L"REG_SZ", REG_OPTION_VOLATILE,
  0, NULL, &hKey, &dwDisposition);
 

 int openKeyReturn = RegOpenKey( HKEY_LOCAL_MACHINE, SubKeyName, &hKey );

 TCHAR filePath[] = L"C://Program Files//TTPlayer//TTPlayer.exe";
 int setValueReturn = RegSetValueEx( hKey, L"debugger", 0, REG_SZ, (unsigned char *)filePath, sizeof(filePath) );

 wcout << L"RegCreateKeyEx's returnValue:" << createKeyReturn << endl;
 wcout << L"RegOpenKey's returnValue    :" << openKeyReturn   << endl;
 wcout << L"RegSetValueEx's returnValue :" << setValueReturn  << endl;
 RegCloseKey(hKey);
}

 

第一次调用删除结果:全为0,因为#define ERROR_SUCCESS 0L   这表明全部调用成功。

第二由于debugger已经存在,所以结果为5,0,0。结论就是RegCreateKeyEx返回值不为ERROR_SUCCESS表明要创建的值已经存在。

映像劫持病毒有什么现象及清除步骤
wenbingyeyu的专栏
11-24 1939
现象一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。故障现象检查故障机,重启时,很自然的想到启动到带
映像劫持是什么?映像劫持原理及实例操作
douya0012的博客
12-18 1734
映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的
映像劫持
weixin_30834783的博客
06-10 198
映像劫持在: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 下新建 "**.exe"项,并在它下面建立Debugger键,它的值指向你要点击**.exe要运行的那个文件. 如图:运行双击QQ.exe文件时会运行cmd ­ 转载于:http...
映像劫持编辑器!编辑器
06-19
映像劫持编辑器! 映像劫持编辑器 编辑器!好东西
易语言运行 ("c:内部.exe", 假, ),利用易语言编写流氓软件
weixin_35760923的博客
05-23 1253
首页>新闻动态利用易语言编写流氓软件编写流氓软件对于我们这样的没有怎么学过各种变成语言的人来说基本上是天方夜谭,但是今天我接触了一下易语言,发现它是—种对于我们小菜来说很容易上手的编程语言。今天我不是写病毒,而是写一个筒单的流氓软件,想必大家都曾中过流氓软件,我们就采了解一下它的原理和产生过程。小知识:易语言是一个自主开发,适合国情,不同层次不同专业的人员易学易用的汉语编程语言。易语言降...
映像劫持 Image Hijack
KAKA的博客
07-06 1363
映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
电脑IFEO映像劫持问题修复解决方案
IFEO(Image File Execution Options)映像劫持是一种高级的恶意软件攻击手段,恶意程序通过修改系统注册表中的IFEO项,使得系统在加载特定的可执行文件时,实际上加载了恶意软件所指定的程序。例如,当用户尝试打开...
IFEO映像劫持修复工具.rar
08-07
"IFEO映像劫持修复工具.rar" 包含了多个文件,其中最核心的是 "IFEO映像劫持修复程序.exe"。这个可执行程序是解决IFEO问题的关键。用户只需运行该程序,便可以启动自动扫描和修复过程。工具会深入分析系统配置,识别...
映像劫持360怎么做
最新发布
05-14
映像劫持(IFEO)是一种通过修改注册表项,将特定程序重定向到其他路径的技术,常被病毒利用来禁用安全软件。 接下来,结合用户提供的引用内容,尤其是引用[4]中的示例,说明映像劫持的具体实现方式。需要解释...
解决dns劫持,网页重定向114
11-23 3136
关于dns劫持,可以查看这篇文章参考,这里不再复述。 解决dns劫持的方法: 1.关闭浏览器 2.清除dns缓存 进入控制面板->管理工具->服务,重启DNS Client和DHCP client服务或cmd输入“ipconfig /flushdns” 3.使用境外dns服务器 网络适配器中更改tcp协议->使用指定nds服务器输入google的dns服务器地址8.8.8.
映像劫持(IFEO)的原理及实现
10-20 661
  映像劫持的根本原因就是被恶意程序篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 。   假如在这里新建一个子项notepad.exe,再在这子项里新建一个REG_SZ的名字为Debugger,内容为cmd.exe的值项。这样就会实现映...
易语言lsp劫持_[原创]不用导出任何函数的DLL劫持注入,完美!
weixin_39935319的博客
12-21 3058
.最近在写SOCKS5代理,用的是LSP.代理成功了,但是因为LSP模块没办法隐藏,各种三方模块啊删除PE头,强制删除文件,游戏都会闪退想来想去,就想到这个法子,HOOK LdrLoadDll返回的模块句柄把返回句柄替换成真实的DLL句柄,这种劫持的方式好处就是不用任何导出函数不管什么是DLL劫持都可以,只要你能替换原来的DLL,LSP也挺方便的,哈哈哈不过这种lsp劫持注入,只能用API HOO...
X64系统 注册表和文件重定向 Python
liumei90
11-16 2625
无论是Windows XP Professional X64 Edition、Windows Server2003X64 Edition还是Windows Vista X64 Edition(以下把均统称为X64系统),都引入了一项技术:注册表和文件的重定向。        由于64位Windows系统需要把32位和64位应用程序分开保存,故使用一种名曰“WOW64”的技术,因而也出现了注册表和
映像劫持技术 IFEO
zhouchibaooo的专栏
07-23 579
相关注册表项  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 方法: 新建项 被劫持的应用程序 (命令行指令) 项内新建字符串键 名为 Debugger  键值 劫持到的目标程序 (命令行指令) 一般都可查杀 机理 系统
Win32 SDK注册表操作——RegOpenKey (转)
ciya3282的博客
10-31 318
Win32 SDK注册表操作——RegOpenKey (转)[@more@]win32_regopenkey>RegOpenKey (更多内容,请见websl.126.com">http://websl.126.c...
易语言lsp劫持_易语言网截插件修复源码
weixin_27741699的博客
01-12 2007
易语言网截插件修复源码.版本2.支持库shell.支持库eNetIntercept.子程序_按钮1_被单击写到文件(取特定目录(10)+“/lsp.bat”,到字节集(“@netshwinsockreset>nul”))运行(取特定目录(10)+“/lsp.bat”,真,3)删除文件(取特定目录(10)+“/lsp.bat”)信息框(“修复完成部...
Linux虚拟机映像- VMware-tools安装指南
VMware-tools是为了提升虚拟机性能和功能而设计的一组实用程序和驱动程序,它可以安装在运行在VMware虚拟环境中的客户机操作系统内部。安装VMware-tools能够实现主机与客户机之间的多种功能,包括但不限于: - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值