镜像劫持2

最新推荐文章于 2024-07-06 15:32:32 发布
最新推荐文章于 2024-07-06 15:32:32 发布
阅读量1.8k 收藏 3
点赞数
文章标签: 镜像劫持 映像劫持 Winlogon userinit.exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/53527490
版权

发现另一个可以镜像劫持的地方:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


这个地方的功能是:

 

So 系统登录的时候会先调用它,所以我们可以通过他来劫持。之前有过病毒是采取替换system32下面对应的这个exe来做坏事的,但是现在这个下面的文件通常都被保护着,但是测试了几个杀软,发现对这个注册表路径没有保护,那么可以尝试直接修改这个注册表路径指向,指向自己的程序,自己的程序做事的时候顺便启动一下真实的程序,保证系统正常运行就行了。不像是之前说的那个劫持,国外的杀软还好,国内的对那个注册表路径对应的整棵树都保护着(防止通过修改上级名字,然后修改劫持路径,再把名字改回来实现劫持)。至于具体细节就不演示了,很好理解。

 

 

TK13
关注
专栏目录
镜像劫持
04-25
2. **镜像劫持的原理**:正常情况下,当一个程序运行时,操作系统会根据程序的配置信息找到并加载相应的DLL。镜像劫持就是通过修改注册表或者其他系统配置,使得程序在试图加载某个DLL时,加载的是攻击者指定的恶意...
木马启动之映像劫持
COSMOSJie的博客
05-08 396
木马运行的原理其实很简单
解除映像劫持工具与源码,可解决因映像劫持导致的程序不能运行问题
kwan1的专栏
02-21 913
显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本软件解除了劫持程序(可使用重新屏蔽按钮恢复到被劫持状态) 需要管理员权限运行(若权限自动申请如无效,可在资源管理中本程序图标上右键--使用管理员权限运行尝试解决) 操作后可直接关闭本程序,操作效果可保持(重启后不失效) 实现方法: ...
52-3 权限维持 - IFEO注入(镜像劫持
最新发布
weixin_43263566的博客
07-06 293
IFEO最初设计用于为在默认系统环境下可能出现错误的程序提供特殊的调试和执行环境。通过IFEO,开发人员可以将调试器附加到应用程序上,从而在应用程序启动时执行特定的调试操作。一、Debugger键值当用户启动一个程序时,系统会在IFEO注册表路径下查找与该程序名称对应的子键。如果找到匹配的子键,并且存在Debugger键值,则系统会使用该键值指定的程序路径来替代原始程序路径,从而实现映像劫持。示例命令如下,将sethc.exe的Debugger键值设置为cmd.exeCopy Code。
玩转注册表
m0_61368098的博客
11-27 1904
很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!
映像劫持技术
whl0071的专栏
04-28 730
映像劫持技术
针对病毒镜像劫持的修复工具
03-15
在IT安全领域,"镜像劫持"是一种恶意软件攻击技术,主要针对杀毒软件,目的是使这些防护软件失效,从而使病毒、木马等恶意程序得以在系统中自由活动。这种攻击方式通常涉及到系统底层的驱动级编程,使得病毒能够控制...
sethc.exe新的镜像劫持技术和安全防御!(shift后门).docx
10-30
《sethc.exe的新镜像劫持技术与安全防御解析》 在Windows操作系统中,sethc.exe是一个用于辅助访问工具,它允许用户在没有鼠标的情况下通过键盘操作计算机。然而,这个实用程序有时会被恶意攻击者利用,成为入侵...
最新的PR劫持技术
05-19
2. **黑帽SEO策略**:攻击者可能会创建与高PR网页内容相似的镜像站点,通过关键词堆砌、隐藏文本等不道德的SEO手法,误导搜索引擎认为这些恶意页面具有高价值,从而提升它们的搜索排名。 3. **零日漏洞利用**:攻击...
OKHY结束进程及压制器,应用镜像劫持屏蔽特定EXE文件运行
09-06
标题中的“OKHY结束进程及压制器,应用镜像劫持屏蔽特定EXE文件运行”表明这是一款软件工具,主要用于管理和控制计算机上的进程,并且具备防止特定可执行文件(EXE)运行的功能。这种工具在某些场景下可能用于安全...
C#映像劫持程序(含源代码)
03-21
映像劫持程序 BY C# 通过注册表访问 实现映像劫持
后门及持久化访问1----辅助功能镜像劫持
浅笑996的博客
07-01 524
代码及原理介绍 为了使电脑更易于使用和访问,Windows添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。 一些常见的辅助功能如: C:\Windows\System32\sethc.exe 粘滞键 快捷键:按五次shift键 C:\Windows\System32\utilman.exe 设置中心 快捷键:Windows+U键 在较早的Wind...
【内网安全】——Windows权限维持
Demo不是emo的博客
02-19 2978
Windows的权限维持姿势汇总
调试器---镜像劫持
xuqi7
06-26 567
如果 A 程序 启动了 B 程序,而且设定了一些东西,这个时候想调试 B 程序,可以用镜像劫持
关于映像劫持
weixin_46661122的博客
11-30 6789
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式
镜像劫持及处理办法
weixin_34146410的博客
03-23 1083
周一去客户那里处理一台服务器说是被人攻破中了***,查看服务器上只安装了一个微点的杀毒软件(以前没有听说过),用惯了360下载并安装,安装过程中提示一个文本文件(一个文本文件语言不通顺,怀疑是人为的,根据文件名jingao.txt找到了执行文件jingao.exe将其删掉),双击快捷方式系统提示文件360safe未找到,我当时感到很奇妙,路径和文件名都没有问题...
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 217
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
IFEO 文件镜像劫持技术
04-04
IFEO(Image File Execution Options)文件镜像劫持技术是一种Windows系统下的应用程序调试和监控机制。IFEO中的“Image File Execution Options”指的是Windows注册表中的一个键值,它可以让我们在应用程序运行前指定一个调试器或者监视器。这个机制可以被恶意软件利用来劫持执行文件,使它们在运行时被强制调用恶意程序,从而达到控制系统的目的。 IFEO文件镜像劫持技术的攻击方式相对隐蔽,攻击者通常会将自己的恶意程序伪装成合法程序,并将其注册到IFEO中。当用户运行被劫持程序时,系统会自动调用恶意程序,从而实现攻击目的。 为了防止IFEO文件镜像劫持技术的攻击,用户可以采取以下措施: 1. 安装杀毒软件并及时更新病毒库,及时查杀系统中的恶意软件。 2. 禁用IFEO机制,防止攻击者利用该机制进行攻击。 3. 定期更新操作系统和应用程序的补丁,以修复系统中的漏洞,防止攻击者利用漏洞进行攻击。 4. 不随意下载和安装不明来源的软件,确保安装的软件来源可靠。 5. 遵守网络安全的基本原则,如勿轻信陌生人发来的链接和文件等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值