Windows映像劫持调试程序

最新推荐文章于 2023-05-08 15:25:19 发布
最新推荐文章于 2023-05-08 15:25:19 发布
阅读量525 收藏 1
点赞数 1
分类专栏: 内核开发 文章标签: Windows映像劫持调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanhuanxiaoxiao/article/details/115030862
版权

简介

“映像劫持”,也被称为“IFEO”(Image File Execution Options),在Windows NT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就可以正常运行。

注册表位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions

Debugger参数

它是IFEO里第一个被处理的参数,系统如果发现某个程序文件在IFEO列表中,它就会首先来读取Debugger参数,如果该参数不为空,系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理,而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去。

实例操作

1. 在管理员状态下执行regedit.exe,定位到以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions

2. 在Image File Execution Options下建立一个子键,名为XLUEOPS.exe,不区分大小写。现在确保位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions\XLUEOPS.exe\,下,建立一个字符串值类型的注册表项,名为Debugger,值为指定的调试器。
3. 再次运行XLUEOPS.exe查看运行情况,可以发现调试器已经启动了。

爱篮球爱IT
关注
专栏目录
52-3 权限维持 - IFEO注入(镜像劫持
weixin_43263566的博客
07-06 296
IFEO最初设计用于为在默认系统环境下可能出现错误的程序提供特殊的调试和执行环境。通过IFEO,开发人员可以将调试器附加到应用程序上,从而在应用程序启动时执行特定的调试操作。一、Debugger键值当用户启动一个程序时,系统会在IFEO注册表路径下查找与该程序名称对应的子键。如果找到匹配的子键,并且存在Debugger键值,则系统会使用该键值指定的程序路径来替代原始程序路径,从而实现映像劫持。示例命令如下,将sethc.exe的Debugger键值设置为cmd.exeCopy Code。
调试技巧(镜像劫持
weixin_42539095的博客
11-25 533
背景 在调试CVE-2017-11882的过程中,执行poc文档,通过动态工具可以知道,winword.exe创建了EQNEDT32.EXE,然后EQNEDT32.EXE启动了 cmd.exe,EQNEDT32.EXE使用 WinExec 创建的进程 cmd.exe,最后由cmd.exe打开了计算器。 那么,EQNEDT32.EXE无法直接调试,该如何解决呢? 注册表镜像劫持 1.打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current
调试器---镜像劫持
xuqi7
06-26 567
如果 A 程序 启动了 B 程序,而且设定了一些东西,这个时候想调试 B 程序,可以用镜像劫持
解除映像劫持工具与源码,可解决因映像劫持导致的程序不能运行问题
kwan1的专栏
02-21 914
显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本软件解除了劫持的程序(可使用重新屏蔽按钮恢复到被劫持状态) 需要管理员权限运行(若权限自动申请如无效,可在资源管理中本程序图标上右键--使用管理员权限运行尝试解决) 操作后可直接关闭本程序,操作效果可保持(重启后不失效) 实现方法: ...
非常详细的映像劫持分析
weixin_33875564的博客
02-21 260
一. 奇怪的中毒现象在办公室的一台电脑上折腾半个小时后,电脑部的工程师只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死...
IFEO映像劫持修复程序.exe
03-18
IFEO(Image File Execution Options)映像劫持Windows操作系统中的一种机制,它允许开发者调试或监控特定可执行文件的运行。然而,恶意软件有时会滥用这个功能来篡改正常程序的行为,导致安全问题。"IFEO映像劫持...
windows映像劫持技术(IFEO)
04-08
### Windows映像劫持技术(IFEO) #### 一、什么是映像劫持(IFEO)? 映像劫持(IFEO),全称Image File Execution Options,是一种原本设计用于调试目的的技术,但后来被黑客和恶意软件开发者利用进行攻击。IFEO...
映像劫持是什么?映像劫持原理及实例操作
douya0012的博客
12-18 1591
映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的
映像劫持修复程序软件
09-09
映像劫持(Image File Execution Options,简称IFEO)是一种Windows操作系统中的机制,它允许开发者在调试或诊断过程中,为特定的可执行文件指定替代的调试器或跟踪工具。然而,这种机制有时会被恶意软件利用,来...
映像劫持 Image Hijack
KAKA的博客
07-06 1146
映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
MFC程序的注册表编程(自启动、映像劫持、文件关联)-C++文档类资源
04-20
这学期考研要看书所以没时间编程,今日手痒逞周末时间研究了一下注册表编程,通过自启动、映像劫持、文件关联三个功能及其恢复功能基本熟悉了注册表编程的大部分内容,以后做什么邪恶的东东肯定做得到~
映像劫持编辑器!编辑器
06-19
映像劫持编辑器! 映像劫持编辑器 编辑器!好东西
IFEOEditor-利用IFEO锁定和解锁指定程序
09-18
利用IFEO锁定和解锁指定程序 1.查询IFEO列表 2.禁用指定的程序 3.解禁指定的程序 4.解除IFEO限制 0.退出(ctrl+c) 请选择对应菜单项(1/2/3/4/0):
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 217
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
注册表映像劫持技术
nbedk_0812的专栏
01-06 2081
通常我们的自启动大多是通过注册表启动项,文件夹启动项,服务启动等,然而还有一种人们所不常见的自启动方法,他不同于文件关联启动,他却能劫持某一特定程序,以下解释来自百度百科:     “映像劫持”,也被称为“IFEO”(Image File Execution Options,其实应该称为“Image Hijack”,至少也应该称为IFEO Hijack而不是只有“IFEO”自身!),它的存在自然
映像劫持技术
whl0071的专栏
04-28 740
映像劫持技术
木马启动之映像劫持
最新发布
COSMOSJie的博客
05-08 396
木马运行的原理其实很简单
禁止编辑注册表+ 文件劫持映像劫持
我的LOG
12-28 1971
阻止访问注册表编辑工具1,文件劫持,禁用组策略
Windows服务启动方式与映像劫持解析
"这篇文档详细介绍了Windows服务启动的两种主要方式以及映像劫持的概念。" 在Windows操作系统中,服务的启动主要有两种形式:DLL通过svchost进程和EXE注册形式的服务。这两种方法都是由服务控制管理器(services....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值