映像劫持技术(1):简单介绍

最新推荐文章于 2025-03-02 11:09:47 发布
转载 最新推荐文章于 2025-03-02 11:09:47 发布 · 264 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/lanf/p/5092941.html
文章标签:

#操作系统

本文介绍了映像劫持(Image File Execution Options)技术的工作原理及其在注册表中的应用。通过修改注册表中特定条目的Debugger参数,可以使一个程序运行时被另一个程序所替代,例如使记事本程序运行时启动命令提示符。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试:

    打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,右键,新建项,将其重命名为notepad.exe。在右边空白处点击右键,新建”字符串值“,将其重命名为”Debugger“(一定要是这个参数),右键它,将它的值改为”cmd.exe"。然后会出现这样的现象,双击运行记事本程序(notepad.exe),都会以弹出命令符提示窗口(cmd.exe)来替代,本来要运行notepad.exe,结果运行了cmd.exe。

    所以C语言使用“映像劫持技术”的原理就是,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下新建一个项,将它的名字命名为某一应用程序的名字(如杀毒软件的名字),创建Debugger参数,将它的值设置为自身程度的名字。这样,当运行杀毒软件的时候,就会以运行自身来代替。

转载于:https://www.cnblogs.com/lanf/p/5092941.html

映像劫持 Image Hijack
KAKA的博客
07-06 1352
映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
映像劫持技术(IFEO)及其应用
AKe's blog
02-27 1271
映像劫持的定义    所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local syst
(经典)详解WINDOWS映像劫持技术
yxyhack's blog
09-21 5036
一. 诡异的中毒现象在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死
映像劫持技术
whl0071的专栏
04-28 1139
映像劫持技术
映像劫持技术
06-18 1465
近日,国内各反病毒中心监测到,一种采用“映像劫持技术的病毒正在互联网上大肆流窜,其特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。目前,金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心将该病毒称为“帕虫”,江民反病毒中心将该病毒称为“U盘寄生虫”(本文都将其称为“AV终结者”)。截止到昨天,其变
关于映像劫持
weixin_46661122的博客
11-30 8510
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式
映像劫持技术 安全防范
12-07
多位网络名人讲解的映像劫持技术和安全防范
C#实现映像劫持
diaohuofu0847的博客
12-25 438
映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入...
映像劫持
weixin_30834783的博客
06-10 197
映像劫持在: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 下新建 "**.exe"项,并在它下面建立Debugger键,它的值指向你要点击**.exe要运行的那个文件. 如图:运行双击QQ.exe文件时会运行cmd ­ 转载于:http...
windows映像劫持技术(IFEO)
04-08
一,什么是映像劫持(IFEO)? 二,具体使用资料: 三,映像劫持的基本原理: 四,映像胁持的具体案例: 五:如何解决并防范“映像劫持”?
映像劫持修复工具)
03-21
映像劫持修复工具映像劫持修复工具映像劫持修复工具映像劫持修复工具
映像劫持的功能
weixin_34138377的博客
09-26 190
映像劫持的定义  所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和...
使用Windows映像劫持技术实现自动登录
qq_26270085的博客
09-21 626
单位要求办公电脑必须设置登录密码,要求密码长度不小于10,要求字母和数字混合,要求有大小写,还要求有特殊字符,最变态的是要求屏幕保护时间为1分钟,在恢复屏幕时显示登录界面 是可忍孰不可忍,叔可忍,婶也不忍,真是太变态了 于是想着自己做一个自动登录的插件。 1.登录界面如何运行指定程序 首先要解决怎么样在登录界面运行你的程序的问题 Windows登录界面好像可以增加按钮什么的,比如瑞星杀毒软件就把自己的图标放到登录界面,查了半天资料,好像要将动态库注入winlogon线程,有点太复杂了.
Windows权限维持之映像劫持技术()
最新发布
2303_78851087的博客
03-02 388
Windows权限维持之映像劫持技术()
IFEO 映像文件劫持
aijuzhou1959的博客
04-04 422
映像劫持”,也被称为“IFEO”(Image File Execution Options) 映像劫持的根本就是被恶意篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。 比如如在这里新建一个子项notepad.exe,再在这子项里新建...
映像劫持技术揭秘与主流杀毒软件应对策略
1. 映像劫持技术本身 2. 杀毒软件在映像劫持面前的脆弱性 压缩包子文件的文件名称列表“IFEO”直接指向了注册表中IFEO的路径,这个路径是操作映像劫持的核心,是直接关联到系统安全的重要组件。 从以上信息中可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值