映像劫持,注册表Image File Execution Options作用及使用办法

映像劫持技术及其应用

大家都不陌生于各种流氓软件和流氓行为，其中一种常见的劫持方法是通过注册表项【ImageFileExecutionOptions】。也许有些朋友对ImageFileExecutionOptions不太了解，下面我将简单地和大家分享一下映像劫持、注册表ImageFileExecutionOptions的作用和使用方法。

映像劫持简介

映像劫持（ImageFileExecutionOptions，IFEO）技术一直存在已久。它通常是通过修改“Debugger”项值来替换执行程序，实现利用的目的。最近在研究IFEO的相关项值时，发现了一个特殊的项值叫做GlobalFlag，进一步测试后，发现了一种基于IFEO的新后门利用方式。在科学探索的精神下，本文对这项技术进行了分析总结。

映像劫持新玩法

除了修改IFEO中的“Debugger”键值来替换原有程序的执行外，还有一种新的利用方法：当程序A静默退出后，会执行程序B。在网上收集整理资料后发现，ImageFileExecutionOptions下可以设置多种值项，其中GlobalFlag是本次测试的关键点。这个方法能实现程序A结束后执行程序B的效果。

GFlages.exe进行测试

根据MSDN博客的说法，我尝试安装GFlages.exe进行测试。在SilentProcessExit选项卡中发现了一些有趣的东西。根据微软官方介绍，从Windows7开始，可以在该选项卡中启用和配置对进程静默退出的监视操作。我填入相应配置后进行测试，并使用ProcessExplorer检测进程的变化。

原理分析

根据微软官方文档描述，SilentProcessExit选项卡中的配置都保存在注册表中。经过分析，主要修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ImageFileExecutionOptions\notepad.exe和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe这两个表项。通过在命令行中对注册表进行设置，可以实现程序A结束后执行程序B的效果。

检测及排查

在进行此类测试之前，需要先删除IFEO中的notepad.exe项。通过分析系统日志，检查是否存在后门威胁。直接删除IFEO项或设置管理员不可修改可以有效应对潜在风险。

总结

本文分析总结了一种新型后门技术：当一个程序关闭时会执行其他二进制文件，且Autorun暂时无法检测到。此技巧需要管理员权限，普通用户无法执行。结合ADS技术（NTFS交换数据流）执行，更加隐蔽。欢迎感兴趣的同学自行测试。