木马启动之映像劫持

最新推荐文章于 2024-08-04 12:03:42 发布
最新推荐文章于 2024-08-04 12:03:42 发布
阅读量406 收藏 1
点赞数 1
文章标签: 安全 windows microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/COSMOSJie/article/details/130559793
版权
本文介绍了通过修改Windows注册表中的ImageFileExecutionOptions(IFEO)来实现calc.exe到cmd.exe的映像劫持,以此复现木马传播原理。实验过程包括理解映像劫持的概念,创建注册表项,以及展示实验结果,即在运行calc.exe时启动cmd.exe。实验加深了对IFEO功能及其被恶意软件利用方式的理解。
摘要由CSDN通过智能技术生成

【实验目的】

1.通过实验,将calc.exe劫持为cmd.exe。复现木马传播的原理。

【实验要求

 1、通过修改注册表,新建calc.exe选项,并将其指向cmd.exe,以此实现目的。

【实验环境

  1. win10虚拟机

【实验作业

  1. 首先了解映像劫持的原理。
最低0.47元/天 解锁文章
暗夜里的烈焰战神
关注
映像劫持技术(IFEO)及其应用
AKe's blog
02-27 1128
映像劫持的定义    所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local syst
IFEO 映像文件劫持
aijuzhou1959的博客
04-04 349
映像劫持”,也被称为“IFEO”(Image File Execution Options) 映像劫持的根本就是被恶意篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。 比如如在这里新建一个子项notepad.exe,再在这子项里新建...
内网权限维持——映像劫持&CLR劫持
最新发布
qq_55202378的博客
08-04 823
IFEO(,镜像文件执行选项)是windows系统的一个注册表项,路径为。在windows NT系统中,IFEO原本是为一些在默认系统环境中允许是可能引发错误的程序执行体提供特殊的环境设定。利用IFEO,开发人员能够在程序运行之前执行程序所配套的环境配置程序。
映像劫持技术
whl0071的专栏
04-28 769
映像劫持技术
非常详细的映像劫持分析
weixin_33875564的博客
02-21 268
一. 奇怪的中毒现象在办公室的一台电脑上折腾半个小时后,电脑部的工程师只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死...
内网渗透之权限维持-自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
m0_62207170的博客
05-19 969
内网渗透之权限维持-自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
映像劫持技术(IFEO)介绍以及解决方案
03-24
### 映像劫持技术(IFEO):深入解析与防范策略 #### 一、映像劫持(IFEO)概述 映像劫持技术(IFEO),全称Image File Execution Options,是微软操作系统中的一项高级功能,最初设计目的是为了方便开发者进行程序的...
映像劫持原理
liu4584945的专栏
03-11 1202
<br />windows映像劫持技术(IFEO)<br /><br />  基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行的情况,或是出错提示为“找不到文件”或者直接没有运行起来的反应,或者是比如运行程序A却成了执行B(可能是病毒),而改名后却可以正常运行的现象。<br />  遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,于是大部分用户只能去重装系统了,但是有经
修改劫持ihtool.rar
09-07
这在应对病毒、木马等恶意软件时显得尤为关键,因为它们往往利用映像劫持来逃避安全软件的检测,而这个工具能有效打破这种局面。 使用“修改劫持ihtool.rar”可能需要管理员权限,这是因为系统级别的修改通常需要...
木马病毒在windows系统中的几种启动方式
09-14
如果你的电脑中一种新型的木马病毒你能怎么办?...病毒的启动主要分为3类,分别是:一、随windows系统启动,二、映像劫持启动,三、捆绑和嵌入正常程序中启动。下面我们主要就第一和第二点进行详细介绍。
IFEO映像劫持修复工具.rar
08-07
解决电脑映像劫持问题很好的小软件!以人格担保无毒!
IFEO映像劫持恢复工具
05-07
IFEO映像劫持恢复工具,可修复被恶意软件劫持映像
windows映像劫持技术(IFEO)
weixin_33816611的博客
01-19 326
基本症状:可能有朋友遇到过这样的情况。一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行或者是比如运行A却成了执行B,而改名后却可以正常运行的现象。既然我们是介绍IFEO技术相关,那我们就先介绍下:一,什么是映像胁持(IFEO)所谓的IFEO就是Image File Execution Options它是位于注册表的HKEY_LOCAL_M...
映像劫持技术 IFEO
zhouchibaooo的专栏
07-23 531
相关注册表项  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 方法: 新建项 被劫持的应用程序 (命令行指令) 项内新建字符串键 名为 Debugger  键值 劫持到的目标程序 (命令行指令) 一般都可查杀 机理 系统
权限持久化---映像劫持检测(Shift后门)
08-27 468
映像劫持说白了还是利用了windows的一些特性,当你点击可执行文件进行执行时,系统并不会直接就对可执行文件进行执行,而是首先对注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,这个路径下面如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。 比较常用的是.
映像劫持(IFEO)的原理及实现
10-20 503
  映像劫持的根本原因就是被恶意程序篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 。   假如在这里新建一个子项notepad.exe,再在这子项里新建一个REG_SZ的名字为Debugger,内容为cmd.exe的值项。这样就会实现映...
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 223
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
映像劫持病毒有什么现象及清除步骤
wenbingyeyu的专栏
11-24 1847
现象一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。故障现象检查故障机,重启时,很自然的想到启动到带
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值