注册表之映像劫持

最新推荐文章于 2023-08-17 12:45:25 发布
最新推荐文章于 2023-08-17 12:45:25 发布
阅读量1.4k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yygyyygy1233/article/details/106697989
版权

现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它实效。可谓,将计就计,还治其人。

下面我们以屏蔽某未知病毒KAVSVC.EXE为例,操作方法如下:

第一步:先建立以下一文本文件,输入以下内容:

  Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options/KAVSVC.EXE]
“Debugger”=“d://1.exe”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options/KAVSVC.EXE]
“Debugger”=“d://1.exe”
(注:第一行代码下有空行。)

第二步:将以上文本另存为1.reg,双击1.reg以导入该reg文件,确定。

第三步:点"开始→运行"后,输入KAVSVC.EXE。

提示:1.exe可以是任意无用的文件,是我们随意创建一个文本文件后将后缀名.txt改为.exe的。

yygyyygy1233
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
禁止编辑注册表+ 文件劫持映像劫持
我的LOG
12-28 1920
阻止访问注册表编辑工具1,文件劫持,禁用组策略
玩转注册表
m0_61368098的博客
11-27 1857
很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!
用来映像劫持的软件(凑字数)
02-18
可以通过改注册表映像劫持
注册表映像劫持技术
nbedk_0812的专栏
01-06 2053
通常我们的自启动大多是通过注册表启动项,文件夹启动项,服务启动等,然而还有一种人们所不常见的自启动方法,他不同于文件关联启动,他却能劫持某一特定程序,以下解释来自百度百科:     “映像劫持”,也被称为“IFEO”(Image File Execution Options,其实应该称为“Image Hijack”,至少也应该称为IFEO Hijack而不是只有“IFEO”自身!),它的存在自然
注册表映像劫持的查看
03-26
用来检查系统有无异常的映像劫持
解决注册表映像劫持
05-04 904
现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它
【搞个事】主页被劫持,改注册表进行修复
咸鱼的小小世界
12-07 2827
前几天闲来无事下载了一些奇♂怪的东西,结果打开Google Chrome的时候居然默认变成了某狗网址导航。 怎么可能允许这种事情发生?还我干净的主页! 1 找到问题 排除浏览器的问题 在各种浏览器的设置里面都是非常正常的东西,没有任何异常。但是我打开Chrome和IE的时候出现了同样的问题……所以说,问题不在浏览器设置里面。 捕捉链接跳转 在页面变成某狗网址导航以前,它还有一个域名!在打开浏览器的...
Windows映像劫持工具
02-11
使用此工具可以对某个程序进行映像劫持映像劫持后被劫持程序本身不会发生变化,但打开后会变为劫持到的程序。 例如:对WeChat.exe(只是举个例子)使用映像劫持劫持到cmd.exe(命令提示符) 成功后如果打开微信...
C++实现映像劫持
09-08
基于C++实现的映像劫持。 通过更改注册表实现对文件的打开方式的锁定更改。
MFC程序的注册表编程(自启动、映像劫持、文件关联)-C++文档类资源
04-20
本资源主要探讨了如何利用MFC进行注册表编程,特别是自启动、映像劫持和文件关联这三个关键功能的实现,以及相应的恢复操作。 一、自启动 自启动功能允许程序在用户登录或计算机启动时自动运行。在注册表中,这个...
[病毒木马] Windows 映像劫持
LYSM
03-19 989
介绍 映像劫持(Image File Execution Options),简单的解释就是,当你执行某一程序A的时候,运行的却是另外一个程序B。 实现 通过修改注册表实现。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ...
映像劫持技术
whl0071的专栏
04-28 685
映像劫持技术
Windows权限维持—自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
剁椒鱼头没剁椒的博客
08-17 1563
Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
windows映像劫持技术(IFEO)
weixin_33816611的博客
01-19 308
基本症状:可能有朋友遇到过这样的情况。一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行或者是比如运行A却成了执行B,而改名后却可以正常运行的现象。既然我们是介绍IFEO技术相关,那我们就先介绍下:一,什么是映像胁持(IFEO)所谓的IFEO就是Image File Execution Options它是位于注册表的HKEY_LOCAL_M...
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 210
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
实验四 理解程序、进程、线程及利用Windows注册表完成相应操作
m0_56948411的博客
06-14 825
实验目的理解程序、进程、线程的含义以及关系。2、学习和掌握利用Windows注册表完成任意程序的多种自启动。3、学习和掌握利用Windows注册表修改常见的文件类型的关联方式。4、学习和掌握利用Windows注册表完成镜像劫持操作。实验环境操作环境:Windows7实验工具:cmd、regedit实验原理通过自启动机制,应用程序、内核驱动或系统服务在Windows系统启动时能自行完成自身启动。病毒除利用注册表完成自启动之外,还可利用文件类型关联程序完成隐匿自启动。新建一个以杀毒软件主程序命名的项,例如Win
使用Windows映像劫持技术实现自动登录
qq_26270085的博客
09-21 513
单位要求办公电脑必须设置登录密码,要求密码长度不小于10,要求字母和数字混合,要求有大小写,还要求有特殊字符,最变态的是要求屏幕保护时间为1分钟,在恢复屏幕时显示登录界面 是可忍孰不可忍,叔可忍,婶也不忍,真是太变态了 于是想着自己做一个自动登录的插件。 1.登录界面如何运行指定程序 首先要解决怎么样在登录界面运行你的程序的问题 Windows登录界面好像可以增加按钮什么的,比如瑞星杀毒软件就把自己的图标放到登录界面,查了半天资料,好像要将动态库注入winlogon线程,有点太复杂了.
(经典)详解WINDOWS映像劫持技术
yxyhack's blog
09-21 4821
一. 诡异的中毒现象在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死
Windows映像劫持调试程序
huanhuanxiaoxiao的博客
03-20 497
简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在Windows NT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它
windows系统之注册表
最新发布
09-20
Windows系统中的注册表(Registry)是一个重要的系统数据库,它包含了操作系统及安装的应用程序的所有配置信息和设置。注册表可以被视为一个大型的树状数据库,用于存储系统和应用程序的设置、选项和参数。 注册表的组织结构类似于文件系统,由多个键(Keys)和对应的值(Value)组成。每个键表示一个特定的系统或应用程序设置项,而每个值则是与该设置项相关的具体配置信息。而每个键和值都有相应的路径,类似于文件在文件系统中的位置。 注册表的作用非常重要。它记录了Windows操作系统的各个组件、驱动程序和安装的应用程序的配置信息,这些信息包括用户设置、硬件设置、网络设置、系统运行状态等。通过修改注册表中的键值,用户可以更改系统的一些默认设置,以满足个性化需求。 然而,对注册表的任意修改都需要谨慎对待。不正确的修改可能导致系统不稳定、程序错误或者系统无法启动等严重问题。因此,在修改注册表之前,最好备份注册表或者有相关经验的人来操作。 总之,注册表Windows系统中非常重要的一个组成部分,它记录了系统和应用程序的所有配置信息和设置。正确的操作注册表可以优化系统性能并满足个性化需求,但不正确的操作可能会导致严重问题。所以,我们在使用Windows时,要小心操作注册表,并在必要时备份。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值