映像劫持与反劫持技术

最新推荐文章于 2022-02-25 19:38:17 发布
最新推荐文章于 2022-02-25 19:38:17 发布
阅读量373 收藏 1
点赞数
分类专栏: BHO 文章标签: qq system 任务 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuyi365/article/details/4498846
版权

  一、原理

  所谓的映像劫持(IFEO)就是ImageFileExecutionOptions,它位于注册表的

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/键值下。由于这个项主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和localsystem有权读写修改。

  比如我想运行QQ.exe,结果运行的却是FlashGet.exe,这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。

  二、被劫持

  虽然映像劫持是系统自带的功能,对一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个正常的程序,实际上病毒已经在后台运行了。

  大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个键值:

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrent/Version/Run

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Notify

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrent/Version/RunOnce

  HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsCurrent/Version/RunServicesOnce

  但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理,等到用户运行某个特定的程序的时候它才运行。因为一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。

  映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/项来劫持正常的程序,比如有一个病毒vires.exe要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,再在这个项下面新建一个字符串的键debugger把其值改为C:/WINDOWS/SYSTEM32/VIRES.EXE(这里是病毒藏身的目录)即可。

  三、玩劫持

  1、禁止某些程序的运行

  WindowsRegistryEditorVersion5.00

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/qq.exe]

  Debugger=123.exe

  把上面的代码保存为norun_qq.reg,双击导入注册表,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。

  2、偷梁换柱恶作剧

  每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:

  WindowsRegistryEditorVersion5.00

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/taskmgr.exe]

  Debugger=D:/WINDOWS/pchealth/helpctr/binaries/mconfig.exe

  将上面的代码另存为task_cmd.reg,双击导入注册表。按下那三个键打开了“系统配置实用程序”。

  3、让病毒迷失自我

  同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。

  WindowsRegistryEditorVersion5.00

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/sppoolsv.exe]

  Debugger=123.exe

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/logo_1.exe]

  Debugger=123.exe

  上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。

  四、防劫持

  1、权限限制法

  打开注册表编辑器,定位到

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。

  2、快刀斩乱麻法

  打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/,把“ImageFileExecutionOptions”项删除即可。

 

kuyi365
关注
专栏目录
C#实现映像劫持
diaohuofu0847的博客
12-25 378
映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入...
Shfit映像劫持后门新玩法
anquanzushiye的博客
12-10 1778
映像劫持简介映像劫持(Image File Execution Options),简单的说法,就是当你打开的是程序A,而运行的确是程序B。映像劫持其实是Windows内设的用来调试程序的...
详解WINDOWS映像劫持技术
weixin_34406061的博客
09-03 242
一. 诡异的中毒现象在 成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随 身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有 运行起来的应,他第一次感受到了恐惧,文件分明就好好的在眼皮底...
IFEO映像劫持在实战中的使用
蚁景网安学院
12-10 306
一,什么是映像劫持(IFEO)?所谓的IFEO就是Image File Execution Options,直译过来就是映像劫持。它又被称为“重定向劫持”(Redirection Hij...
巧妙限制,禁止病毒进行映像劫持
liuyukuan的专栏
11-04 1290
<br />http://www.zcom.com/article/15703/<br />  接着用鼠标双击“Debugger”键值,打开如图2所示的编辑对话框, 在这里的“数值数据”文本框中输入灰鸽子病毒程序的具体路径信息,例如笔者在这里输入的是“%systemroot%/system32/huigezi.exe”,单击“确定”按钮后,整个映像劫持操作就完成了。<br /><br />    由于笔者在这里手工创建的程序是360安全卫士杀毒软件,可是对应该程序下面的调试值却不是对应“E:/Program
安全技巧:映像劫持劫持技术
zhangmiaoping23的专栏
01-14 1552
<br />IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定,系统厂商之所以会这么做,是有一定历史原因的,在Windows NT时代,系统使用一种早期的堆栈Heap,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,通过引入动态内存分配方案,让程序对内存的占用更为减少,在安全上也保护程序不容易被溢出,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专
(经典)详解WINDOWS映像劫持技术
我是guyue,guyue就是我O(∩_∩)O
11-27 5037
windows映像劫持技术(IFEO)介绍以及常用解决方案_电脑软硬件应用网_国内最受关注的计算机应用解决中心   http://www.45it.com/Article/pcedu/Safety/200705/16098.htm (经典)详解WINDOWS映像劫持技术 - yxyhack's blog - 博客频道 - CSDN.NET   http://blog.csdn.n
映像劫持
dbjtimve93993的博客
04-14 164
映像劫持技术分析 一. 奇怪的中毒现象 在办公室的一台电脑上折腾半个小时后,电脑部的工程师只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“...
解除映像劫持工具与源码,可解决因映像劫持导致的程序不能运行问题
kwan1的专栏
02-21 920
显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本软件解除了劫持的程序(可使用重新屏蔽按钮恢复到被劫持状态) 需要管理员权限运行(若权限自动申请如无效,可在资源管理中本程序图标上右键--使用管理员权限运行尝试解决) 操作后可直接关闭本程序,操作效果可保持(重启后不失效) 实现方法: ...
C++映像劫持后门实例分析
09-03
此外,映像劫持技术还可能与其他恶意软件结合使用,使得恶意软件的传播和激活更加难以察觉。然而,应当指出的是,研究和讨论这种技术的目的应当是为了更好地理解安全威胁和提升防护措施,并非用于从事非法活动。非法...
映像劫持技术 安全防范
12-07
### 映像劫持技术与安全防范 #### 映像劫持技术简介 映像劫持(Image File Execution Options, IFEO)是Windows操作系统中的一个功能,最初设计用于调试目的。通过映像劫持,可以在执行特定程序时启动另一个程序或...
映像劫持技术(IFEO)介绍以及解决方案
03-24
### 映像劫持技术(IFEO):深入解析与防范策略 #### 一、映像劫持(IFEO)概述 映像劫持技术(IFEO),全称Image File Execution Options,是微软操作系统中的一项高级功能,最初设计目的是为了方便开发者进行程序的...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9069
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3603
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7108
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1750
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2722
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4177
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
Windows服务启动方式与映像劫持解析
"这篇文档详细介绍了Windows服务启动的两种主要方式以及映像劫持的概念。" 在Windows操作系统中,服务的启动主要有两种形式:DLL通过svchost进程和EXE注册形式的服务。这两种方法都是由服务控制管理器(services....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值