映像劫持技术允许通过注册表中的ImageFileExecutionOptions来重定向应用程序执行,例如将notepad.exe的启动替换为cmd.exe。通过创建Debugger键并设置其值,可以实现当试图运行特定程序(如杀毒软件)时,实际上是运行了另一个程序(如自身)。这种方法可用于调试或恶意软件行为,比如创建myqf.exe并设置Debugger为cmd.exe,双击myqf.exe会打开命令提示符。
映像劫持技术(1):简单介绍
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试:
打开注册表——定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
- 1
Options,右键,新建项,将其重命名为notepad.exe。在右边空白处点击右键,新建”字符串值“,将其重命名为”Debugger“(一定要是这个参数),右键它,将它的值改为”cmd.exe"。然后会出现这样的现象,双击运行记事本程序(notepad.exe),都会以弹出命令符提示窗口(cmd.exe)来替代,本来要运行notepad.exe,结果运行了cmd.exe。
所以C语言使用“映像劫持技术”的原理就是,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options
下新建一个项,将它的名字命名为某一应用程序的名字(如杀毒软件的名字),创建Debugger参数,将它的值设置为自身程度的名字。这样,当运行杀毒软件的时候,就会以运行自身来代替。
在下面添加一项,这里的命名与后续要触发的可执行文件程序文件名一致,这里我新建了一个
myqf.exe
然后在myqf.exe的右侧新建一个Debugger,在输入值的栏目中填入你的后门绝对路径,我这里以
cmd.exe为例。
双击打开cmd
扫一扫
1270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
