【实验目的】 1.通过实验,将calc.exe劫持为cmd.exe。复现木马传播的原理。 |
【实验要求】 1、通过修改注册表,新建calc.exe选项,并将其指向cmd.exe,以此实现目的。 |
【实验环境】
|
【实验作业】
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。 映像劫持的原理 映像劫持是利用Windows的IFEO(Image File Execution Options)功能来实现的。IFEO实际上是Windows的一项正常功能,主要用于调试程序,其初衷是在程序启动的时候开启调试器来调试程序,这样一来可以在调试器中观察程序在难以重现的环境中的行为。例如,某个程序在随用户登录自动启动时会出错,但在登录后手动启动时却一切正常,这就可以通过IFEO设置一个调试器,无论程序何时启动,都会开启这个调试器对其进行调试,以便找出问题。很多病毒木马都会使用这种手段阻止安全软件的运行。
通过打开注册表,找到如下地址:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这里就是计算机保存IFEO设置的地方。 在这个目录下,右键新建一个项命名为calc.exe,然后在这个文件下再次新建一个字符串,修改名字为Debugger,并在数据处输入:cmd.exe。这里的工作完成后,就可以退出了。下面来看看效果。
首先在正常的win10中:
可以看到cmd中输入calc.exe,会出现计算器。 那么在win10虚拟机中会怎么样呢?
就弹出了cmd框。表明劫持成功。
而且,在cmd里面输入calc.exe,仍然会识别为打开自己。 |
【实验中出现问题及解决方法】 一,寻找IFEO的过程是按照教程来的,一开始不理解,后来做完实验才明白。 |
【思考问题】 一,当运行calc.exe的时候,系统首先会在注册表的Image File Execution Options中寻找名为“calc.exe”的项,如果存在该项,则继续寻找名为“Debugger”的字符串值,如果找到,则转而启动Debugger值中指定的程序,即cmd.exe |
【实验体会】通过本次实验: 一,熟悉了木马运行中映像劫持的原理。为下一步学习打下基础。 |
木马启动之映像劫持
最新推荐文章于 2023-08-17 12:45:25 发布