注册表 Image File Execution Options 项的作用及使用办法

最新推荐文章于 2024-07-10 17:08:52 发布
最新推荐文章于 2024-07-10 17:08:52 发布
阅读量7.5k 收藏 4
点赞数 1
分类专栏: 其他 文章标签: file image windows system c user

  Image File Execution Options
  跳转到键值
  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
  在里面添加一个新键值,使用一个你想欺骗的执行文件的名字,好比notepad.exe
  
  注意到在‘Image File Execution Options’键值中已经有一些条目了,这些应用程序和填充大概是一些为了兼容老版本WINDOWS程序的东东。 现在给NOTEPAD.EXE键值加入一个新的串值类型的值项,名为‘Debugger’,并且键入其他执行程序的路径作为它的值。
  所有的东西应该看起来这样:
  Image File Execution Options
  |
  |__NOTEPAD.EXE
   Debugger - REG_SZ - C:/WINDOWS/SYSTEM32/CALC.EXE
  一旦做好了,在NOTEPAD图标上单击(或是txt文件),CALC.EXE被代替执行
  这儿有一个简单的命令行程序, TEST.C, 它可以显示执行时使用的参数。
  ----------------------------------------------------------------------
  #include "stdio.h"
  #include "conio.h"
  int main( int argc, char **argv)
  {
   int count ;
   printf( "Number of arguments: %d/n", argc) ;
   count = 0 ;
   while( count < argc)
   {
   printf( "Argument %d: %s/n", count, argv[ count]) ;
   count++ ;
   }
   while( !kbhit()) ;
   return 0 ;
  }
  ----------------------------------------------------------------------
  编译它并将test.exe放在你的根目录,C:/TEST.EXE。现在到注册表的NOTEPAD.EXE键值,修改'Debuuger'让它指向 C:/TEST.EXE
  在NOTEPAD图标上单击,看有TEST.EXE的输出结果
  ----------------------------------------------------------------------
  Number of arguments: 2
  Argument 0: c:/test.exe
  Argument 1: C:/WINDOWS/system32/notepad.exe
  ----------------------------------------------------------------------
  正如你所见的,原来程序的路径作为参数被传到了test.exe。
  现在在你的根目录创建一个README.TXT文件,并单击它。
  如果NOTEPAD.EXE是你打开.txt文件默认程序,text.exe就会出现,显示如下的信息:
  ----------------------------------------------------------------------
  Number of arguments: 3
  Argument 0: c:/test.exe
  Argument 1: C:/WINDOWS/system32/NOTEPAD.EXE
  Argument 2: C:/readme.txt
  ----------------------------------------------------------------------
  现在你可以看见传给NOTEPAD.EXE的参数也出现,作为传给test.exe的参数。
  注册表的这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写,一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在:
  [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]
  如果存在,首先会试图读取这个键值:
  [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]
  "Debugger"="debug_prog"
  如果存在,就执行“debug_prog ImageName”。
  【注册表的这个项本来是来调试程序的,而今却被好多病毒利用,来关联自己,使得在运行其他程序的时候自己被执行,同时也可以让它代替杀软运行,而使得 真正的杀软不能运行,但这个却也是很好解决的,当发现自己杀软运行一下没反应的时候就要注意了,很可能刚才你已经运行了一下病毒,如果最快的解决方法是把 杀软的运行程序改一下名字,再运行,并到注册表的这里把被替换的项删去】

 

原文链接: http://hi.baidu.com/391616001/blog/item/dcdd0ed7451972d6a044df48.html

fogeater
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
映像劫持(Image File Execution Options)的解决方案
weixin_34318326的博客
12-09 1976
这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。 现象: 一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因 ,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。...
执行重定向 -- 通过使用'Image File Execution Options'键值
05-07 2639
=============================================================执行重定向 -- 通过使用Image File Execution Options键值By GriYo/29A                  29a-8.017                翻译于2005-7-9                  ==========
利用映像劫持轻松替换系统程序
weixin_34396103的博客
06-06 175
  Image File Execution Options (其实应该称为“Image Hijack”)就是映像劫持技术,通过此种方式替换记事本,非常地绿色环保。   Image File Execution Options 是 CreateProcess 函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果 存在这个参数的话,就运行这个参...
Image File Execution Options(2)
weixin_30802171的博客
11-23 191
跳转转到键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options在里面添加一个新键值,使用一个你想欺骗的执行 文件的名字,好比notepad.exe注意到在‘Image File Execution Options’键值中已经有一些条目了,这些应用程序和填...
[zz]Image File Execution Options - How to Hijack a Program
weixin_30628077的博客
06-13 86
http://ezinearticles.com/?Image-File-Execution-Options---How-to-Hijack-a-Program&id=4088225 So what the heck are "Image File Execution Options" and why should I be concerned about them? I kn...
对一个注册表的粗略分析
05-01 1014
Author:   tombkeeperEmail:    tombkeeper@whitecell.org[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]    注册表的这个大家可能还不太熟悉,因为这个主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local syst
office 2010 安装时弹错误框 Error 1406 Image File Execution Options 不能写入
huiguixian的专栏
07-03 2127
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options<br />office 2010 发布 RTM了, 好多人开始安装了, 于是 一部分人发现安装过程中弹错误框Error 1406 Image File Execution Options 不能写入<br />原因:<br />1. 很多精简版本的XP 直接去掉了 administrators 对此键值的读写权限.<br />
pe_xscan 加入对 映像劫持 (Image_File_Execution_Options,IFEO) 的扫描
Purpleendurer@CSDN
06-04 1489
近期恶意程序利用 映像劫持 (Image_File_Execution_Options,IFEO) 的比较多,可以有来阻止抗病毒程序,防火墙软件等系统安全防护程序的运行,并激活恶意程序等。所以在 pe_xscan 加入对 映像劫持 (Image_File_Execution_Options,IFEO) 的扫描另外就是为 pe_xscan 的 log 中的O24 和 O25  加入标记,因
禁止1200多种病毒的注册表文件
10-12
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup_aHR0cDovL3d3dy5xeXVsZS5jb20v.exe] "Debugger"="c:\\病毒类.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...
MFC程序的注册表编程(自启动、映像劫持、文件关联)-C++文档类资源
04-20
这通常发生在`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`或`HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
禁止程序运行的注册表
11-04
关键位置通常是`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System`或者`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`。...
开机只显示壁纸解决办法
07-27
桌面无法显示,explorer无法...打开注册表,找到以下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe],把“Explorer.exe”这个整个删除就可以了
盘符的隐藏及程序的禁用
09-11
1. 修改注册表,禁止指定程序的启动,如在`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下创建对应程序的键值。 2. 监控文件系统活动,阻止特定程序的运行。 3....
vtune使用报错Cannot start analysis because Image File Execution Options (IFEO) are enabled for this app
weixin_44376490的博客
12-08 6755
问题 我想用vtune采集一份数据,但是无法用vtune打开对应的exe,界面报错: Cannot start analysis because Image File Execution Options (IFEO) are enabled for this application. Suggestion: Use the Global Flags Editor (GFlags) to disable IFEO for this application. 里面提示建议使用全局标志编辑器 (GFlags) 为
Image File Execution Options作用(加载调试器)
ly402609921的专栏
07-06 3655
Image File Execution Options  跳转到键值  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options  在里面添加一个新键
映像劫持技术
whl0071的专栏
04-28 668
映像劫持技术
玩转注册表
m0_61368098的博客
11-27 1830
很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!
木马启动之映像劫持
COSMOSJie的博客
05-08 373
木马运行的原理其实很简单
java 中钻石操作符 <> 的使用场景
最新发布
qq_27390023的博客
07-10 370
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
如何修改系统注册表的方式来禁止系统API调用
03-20
修改系统注册表的方式来禁止系统API调用是一高级的系统操作,需要谨慎处理。具体的步骤可以参考以下操作: 1. 打开注册表编辑器,可以通过运行 regedit 命令来打开。 2. 找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 键值。 3. 在 Image File Execution Options 键值下创建一个新的子键,命名为要禁止调用的程序的名称,比如 notepad.exe。 4. 在新创建的子键下创建一个名为 Debugger 的字符串值,并将其值设置为 "C:\Windows\System32\systray.exe"。 5. 保存修改后的注册表,重启计算机。 这样就可以禁止系统调用指定的 API。需要注意的是,修改注册表可能会对系统造成不可逆的影响,建议在进行操作前备份注册表

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值