映像劫持,注册表Image File Execution Options作用及使用办法
映像劫持技术及其应用
大家都不陌生于各种流氓软件和流氓行为,其中一种常见的劫持方法是通过注册表项【ImageFileExecutionOptions】。也许有些朋友对ImageFileExecutionOptions不太了解,下面我将简单地和大家分享一下映像劫持、注册表ImageFileExecutionOptions的作用和使用方法。
映像劫持简介
映像劫持(ImageFileExecutionOptions,IFEO)技术一直存在已久。它通常是通过修改“Debugger”项值来替换执行程序,实现利用的目的。最近在研究IFEO的相关项值时,发现了一个特殊的项值叫做GlobalFlag,进一步测试后,发现了一种基于IFEO的新后门利用方式。在科学探索的精神下,本文对这项技术进行了分析总结。
映像劫持新玩法
除了修改IFEO中的“Debugger”键值来替换原有程序的执行外,还有一种新的利用方法:当程序A静默退出后,会执行程序B。在网上收集整理资料后发现,ImageFileExecutionOptions下可以设置多种值项,其中GlobalFlag是本次测试的关键点。这个方法能实现程序A结束后执行程序B的效果。
GFlages.exe进行测试
根据MSDN博客的说法,我尝试安装GFlages.exe进行测试。在SilentProcessExit选项卡中发现了一些有趣的东西。根据微软官方介绍,从Windows7开始,可以在该选项卡中启用和配置对进程静默退出的监视操作。我填入相应配置后进行测试,并使用ProcessExplorer检测进程的变化。
原理分析
根据微软官方文档描述,SilentProcessExit选项卡中的配置都保存在注册表中。经过分析,主要修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ImageFileExecutionOptions\notepad.exe和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe这两个表项。通过在命令行中对注册表进行设置,可以实现程序A结束后执行程序B的效果。
检测及排查
在进行此类测试之前,需要先删除IFEO中的notepad.exe项。通过分析系统日志,检查是否存在后门威胁。直接删除IFEO项或设置管理员不可修改可以有效应对潜在风险。
总结
本文分析总结了一种新型后门技术:当一个程序关闭时会执行其他二进制文件,且Autorun暂时无法检测到。此技巧需要管理员权限,普通用户无法执行。结合ADS技术(NTFS交换数据流)执行,更加隐蔽。欢迎感兴趣的同学自行测试。
常见问题
- 10bit显示器,Win10只显示8bit(位深度)要怎么设置?
- Windows Server 2008 R2密钥/最新序列号/永久激活码
- yundetectservice是什么?yundetectservice.exe进程如何禁止?
- Win10专业工作站版激活密钥(数字永久激活码)
- Msg3.0.db是什么?Msg3.0.db可以删除吗?如何瘦身?
- 无限弹窗代码来了!制作成bat运行,不死机不停止!
- 怎么修改软件安装日期?(修改卸载程序里显示的日期)
- win10系统驱动精灵提示系统自带驱动缺失|local print queue缺失怎么办?
- kingsoft是什么文件夹?教你kingsoft如何删除
- Win10笔记本睡眠状态下计算机自动唤醒,异常耗电的终极解决方法