映像劫持技术(1):简单介绍
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试:
打开注册表——定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
Options,右键,新建项,将其重命名为notepad.exe。在右边空白处点击右键,新建”字符串值“,将其重命名为”Debugger“(一定要是这个参数),右键它,将它的值改为”cmd.exe"。然后会出现这样的现象,双击运行记事本程序(notepad.exe),都会以弹出命令符提示窗口(cmd.exe)来替代,本来要运行notepad.exe,结果运行了cmd.exe。
所以C语言使用“映像劫持技术”的原理就是,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options
下新建一个项,将它的名字命名为某一应用程序的名字(如杀毒软件的名字),创建Debugger参数,将它的值设置为自身程度的名字。这样,当运行杀毒软件的时候,就会以运行自身来代替。
在下面添加一项,这里的命名与后续要触发的可执行文件程序文件名一致,这里我新建了一个
myqf.exe
然后在myqf.exe的右侧新建一个Debugger,在输入值的栏目中填入你的后门绝对路径,我这里以
cmd.exe为例。
双击打开cmd