映像劫持,注册表Image File Execution Options作用及使用办法
更新日期:2024-06-05 16:10
来源:互联网
映像劫持技术及其应用
大家都不陌生于各种流氓软件和流氓行为,其中一种常见的劫持方法是通过注册表项【ImageFileExecutionOptions】。也许有些朋友对ImageFileExecutionOptions不太了解,下面我将简单地和大家分享一下映像劫持、注册表ImageFileExecutionOptions的作用和使用方法。
映像劫持简介
映像劫持(ImageFileExecutionOptions,IFEO)技术一直存在已久。它通常是通过修改“Debugger”项值来替换执行程序,实现利用的目的。最近在研究IFEO的相关项值时,发现了一个特殊的项值叫做GlobalFlag,进一步测试后,发现了一种基于IFEO的新后门利用方式。在科学探索的精神下,本文对这项技术进行了分析总结。
映像劫持新玩法
除了修改IFEO中的“Debugger”键值来替换原有程序的执行外,还有一种新的利用方法:当程序A静默退出后,会执行程序B。在网上收集整理资料后发现,ImageFileExecutionOptions下可以设置多种值项,其中GlobalFlag是本次测试的关键点。这个方法能实现程序A结束后执行程序B的效果。
GFlages.exe进行测试
根据MSDN博客的说法,我尝试安装GFlages.exe进行测试。在SilentProcessExit选项卡中发现了一些有趣的东西。根据微软官方介绍,从Windows7开始,可以在该选项卡中启用和配置对进程静默退出的监视操作。我填入相应配置后进行测试,并使用ProcessExplorer检测进程的变化。
原理分析
根据微软官方文档描述,SilentProcessExit选项卡中的配置都保存在注册表中。经过分析,主要修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ImageFileExecutionOptions\notepad.exe和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe这两个表项。通过在命令行中对注册表进行设置,可以实现程序A结束后执行程序B的效果。
检测及排查
在进行此类测试之前,需要先删除IFEO中的notepad.exe项。通过分析系统日志,检查是否存在后门威胁。直接删除IFEO项或设置管理员不可修改可以有效应对潜在风险。
总结
本文分析总结了一种新型后门技术:当一个程序关闭时会执行其他二进制文件,且Autorun暂时无法检测到。此技巧需要管理员权限,普通用户无法执行。结合ADS技术(NTFS交换数据流)执行,更加隐蔽。欢迎感兴趣的同学自行测试。
相关下载
Win11破解版下载|GHOST WIN11 64位专业破解版(永久激活)V2024
查看
W11专业版下载|W11系统专业版[永久激活]
查看
Win7原版纯净版下载|Win7 64位旗舰版ISO镜像(带USB3.0驱动)新版
查看
系统之家Win11下载|Win11专业版64位中文版[微软最新系统]2024
查看
【Win10 LTSC精简版】Win10 64位企业版(LTSC 2019)极致流畅版 v2024
查看
游戏专用Win11系统下载|Win11 64位专业版(永久激活,细致打磨)
查看
Win11下载2024最新版|Win11系统正式版64位专业版(永久激活)v2024
查看
Win11正式版镜像下载|Win11正式版系统镜像[64位专业版]
查看