注册表 Image File Execution Options 项的作用及使用办法

最新推荐文章于 2023-05-08 15:25:19 发布
最新推荐文章于 2023-05-08 15:25:19 发布
阅读量7.6k 收藏 4
点赞数 1
分类专栏: 其他 文章标签: file image windows system c user

  Image File Execution Options
  跳转到键值
  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
  在里面添加一个新键值,使用一个你想欺骗的执行文件的名字,好比notepad.exe
  
  注意到在‘Image File Execution Options’键值中已经有一些条目了,这些应用程序和填充大概是一些为了兼容老版本WINDOWS程序的东东。 现在给NOTEPAD.EXE键值加入一个新的串值类型的值项,名为‘Debugger’,并且键入其他执行程序的路径作为它的值。
  所有的东西应该看起来这样:
  Image File Execution Options
  |
  |__NOTEPAD.EXE
   Debugger - REG_SZ - C:/WINDOWS/SYSTEM32/CALC.EXE
  一旦做好了,在NOTEPAD图标上单击(或是txt文件),CALC.EXE被代替执行
  这儿有一个简单的命令行程序, TEST.C, 它可以显示执行时使用的参数。
  ----------------------------------------------------------------------
  #include "stdio.h"
  #include "conio.h"
  int main( int argc, char **argv)
  {
   int count ;
   printf( "Number of arguments: %d/n", argc) ;
   count = 0 ;
   while( count < argc)
   {
   printf( "Argument %d: %s/n", count, argv[ count]) ;
   count++ ;
   }
   while( !kbhit()) ;
   return 0 ;
  }
  ----------------------------------------------------------------------
  编译它并将test.exe放在你的根目录,C:/TEST.EXE。现在到注册表的NOTEPAD.EXE键值,修改'Debuuger'让它指向 C:/TEST.EXE
  在NOTEPAD图标上单击,看有TEST.EXE的输出结果
  ----------------------------------------------------------------------
  Number of arguments: 2
  Argument 0: c:/test.exe
  Argument 1: C:/WINDOWS/system32/notepad.exe
  ----------------------------------------------------------------------
  正如你所见的,原来程序的路径作为参数被传到了test.exe。
  现在在你的根目录创建一个README.TXT文件,并单击它。
  如果NOTEPAD.EXE是你打开.txt文件默认程序,text.exe就会出现,显示如下的信息:
  ----------------------------------------------------------------------
  Number of arguments: 3
  Argument 0: c:/test.exe
  Argument 1: C:/WINDOWS/system32/NOTEPAD.EXE
  Argument 2: C:/readme.txt
  ----------------------------------------------------------------------
  现在你可以看见传给NOTEPAD.EXE的参数也出现,作为传给test.exe的参数。
  注册表的这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写,一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在:
  [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]
  如果存在,首先会试图读取这个键值:
  [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]
  "Debugger"="debug_prog"
  如果存在,就执行“debug_prog ImageName”。
  【注册表的这个项本来是来调试程序的,而今却被好多病毒利用,来关联自己,使得在运行其他程序的时候自己被执行,同时也可以让它代替杀软运行,而使得 真正的杀软不能运行,但这个却也是很好解决的,当发现自己杀软运行一下没反应的时候就要注意了,很可能刚才你已经运行了一下病毒,如果最快的解决方法是把 杀软的运行程序改一下名字,再运行,并到注册表的这里把被替换的项删去】

 

原文链接: http://hi.baidu.com/391616001/blog/item/dcdd0ed7451972d6a044df48.html

fogeater
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
映像劫持(Image File Execution Options)的解决方案
weixin_34318326的博客
12-09 1979
这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。 现象: 一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因 ,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。...
玩转注册表
m0_61368098的博客
11-27 1855
很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!
映像劫持技术
whl0071的专栏
04-28 683
映像劫持技术
对一个注册表的粗略分析
05-01 1015
Author:   tombkeeperEmail:    tombkeeper@whitecell.org[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]    注册表的这个大家可能还不太熟悉,因为这个主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local syst
关于映像劫持
weixin_46661122的博客
11-30 6545
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表使用与可执行程序文件名匹配的目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式
木马启动之映像劫持
最新发布
COSMOSJie的博客
05-08 379
木马运行的原理其实很简单
office安装错误(无法写入注册表)解决办法
11-16
Image File Execution Options”(IFEO) 是Windows系统中的一个功能,它允许开发者调试程序崩溃时的情况。然而,在某些情况下,IFEO可能会阻止Office安装程序正常运行。 ##### 步骤如下: 1. **打开注册表编辑器*...
注册表劫持或启动加载的方式
07-16
- `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`:恶意软件可能会在这里创建新的键值,使目标程序在启动时被替换为恶意程序。 6. **浏览器BHO(Browser ...
病毒分析与防护实验1——注册表.pdf
03-07
5. 禁止记事本运行,通过在`HKEY_Local_Machine\Software\microsoft\windows NT\CurrentVersion\Image file execution options`下创建`notepad.exe`和Debugger字符串值。 实验总结中,郭同学通过实际操作展示了...
禁止1200多种病毒的注册表文件
10-12
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup_aHR0cDovL3d3dy5xeXVsZS5jb20v.exe] "Debugger"="c:\\病毒类.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...
MFC程序的注册表编程(自启动、映像劫持、文件关联)-C++文档类资源
04-20
这通常发生在`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`或`HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
映像劫持 Image Hijack
KAKA的博客
07-06 1121
“映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
windows映像劫持技术(IFEO)
weixin_33816611的博客
01-19 308
基本症状:可能有朋友遇到过这样的情况。一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行或者是比如运行A却成了执行B,而改名后却可以正常运行的现象。既然我们是介绍IFEO技术相关,那我们就先介绍下:一,什么是映像胁持(IFEO)所谓的IFEO就是Image File Execution Options它是位于注册表的HKEY_LOCAL_M...
office 2010 安装时弹错误框 Error 1406 Image File Execution Options 不能写入
weixin_30306905的博客
04-23 252
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options office 2010 发布 RTM了, 好多人开始安装了, 于是 一部分人发现安装过程中弹错误框Error 1406 Image File Execution Options 不能写入 原因: 1...
office 2010 报1920错误 (未能启动服务 “Office Software Protection Platform”(osppsvc))
热门推荐
jjjjjjj666的博客
03-27 1万+
2.找到注册表如下位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSppSvc.exe(有的电脑是小写的,无所谓)1.win+R运行“ regedit ”,打开注册表。3.重新打开或者重新安装office即可。
Windows注册表基本管理配置
qq_30053489的博客
06-16 4418
一.注册表优化 注册表的优化分为几点: 1.系统安装是产生的无用信息 (1) 删除多余的时区 路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones 删除除了China Standard Time中国时区以外的其他时区 ​ (2)删除多余的语言 路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Lo...
SECOH-QAD.exe占用CPU太高解决方法
weixin_34368949的博客
02-12 4897
某些的僵尸文件。整个删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SPPEXTCOMOBJ.EXE重启系统 再删除僵尸文件。文件存在 C:\Windows 下面找到 SECOH-QAD.exe SECOH-QAD.dll 删除这俩个文件 激活后不需...
windbg简单调试内存泄漏
weixin_43787608的博客
12-01 802
0x00 首先使用 gflags 设置heap堆栈追踪参数: Gflags.exe /i +ust 设置完成后后,我们可以在 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options&amp;amp;lt;Image Name&amp;amp;gt;” GlobalFlag 中看到刚才设置的参数。 ...
Microsoft Application Verifier安装过程中(遇到注册表Image File Execution Options无权限)的问题解决
Amy Lin的专栏
03-14 4947
Application Verifier是一个微软发布的一个代码验证工具。通过这个工具,可以找出在正常程序代码检测中难以察觉的错误。为我们检测内存错误,内存泄露,GID对象泄露提供帮助,并报告出问题的调用堆栈。对有过在大规模代码里查找内存,GDI泄露经历的同学,应该知道,这个调用堆栈信息的价值。。。。。惭愧的是,偶做了近4年的开发,才知道,微软有这么好用的的东东。。。。。关于工具的使用,偶也是
如何修改系统注册表的方式来禁止系统API调用
03-20
修改系统注册表的方式来禁止系统API调用是一高级的系统操作,需要谨慎处理。具体的步骤可以参考以下操作: 1. 打开注册表编辑器,可以通过运行 regedit 命令来打开。 2. 找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 键值。 3. 在 Image File Execution Options 键值下创建一个新的子键,命名为要禁止调用的程序的名称,比如 notepad.exe。 4. 在新创建的子键下创建一个名为 Debugger 的字符串值,并将其值设置为 "C:\Windows\System32\systray.exe"。 5. 保存修改后的注册表,重启计算机。 这样就可以禁止系统调用指定的 API。需要注意的是,修改注册表可能会对系统造成不可逆的影响,建议在进行操作前备份注册表
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值