IFEO 映像文件劫持
“映像劫持”,也被稱為“IFEO”(Image File Execution Options)
映像劫持的根本就是被惡意篡改了注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options項。
比如如在這里新建一個子項notepad.exe,再在這子項里新建一個REG_SZ的名字為Debugger,內容為cmd.exe的值項。這樣就會實現映像劫持了,這樣你每次用記事本的方式打開文本文件時,卻打開的是命令提示符的窗口。
Debugger參數的本意----(本段摘自百度百科)
是為了讓程序員能夠通過雙擊程序文件直接進入調試器里調試自己的程序,曾經調試過程序的朋友也許會有一個疑問,既然程序啟動時都要經過IFEO這一步,那么在調試器里點擊啟動剛被Debugger參數送進來的程序時豈不是又會因為這個法則的存在而導致再次產生一個調試器進程?微軟并不是傻子,他們理所當然的考慮到了這一點,因此一個程序啟動時是否會調用到IFEO規則取決于它是否“從命令行調用”的,那么“從命令行調用”該怎么理解呢?例如我們在命令提示符里執行taskmgr.exe,這就是一個典型的“從命令行調用”的執行請求,而我們在點擊桌面上、普通應用程序菜單里的taskmgr.exe時,系統都會將其視為由外殼程序Explorer.exe 傳遞過來的執行請求,這樣一來,它也屬于“從命令行調用”的范圍而觸發IFEO規則了。為了與用戶操作區分開來,系統自身加載的程序、調試器里啟動的程 序,它們就不屬于“從命令行調用”的范圍,從而繞開了IFEO,避免了這個加載過程無休止的循環下去。由于Debugger參數的這種特殊作用,它又被稱為“重定向”(Redirection), 而利用它進行的攻擊,又被稱為“重定向劫持”(Redirection Hijack),它和“映像劫持”(Image Hijack,或IFEO Hijack)只是稱呼不同,實際上都是一樣的技術手段。
這種手段還是非常危險的,如果劫持了殺軟,那么你打開殺軟的瞬間,其實就是打開的惡意程序。也可以劫持一些doc文檔之類的,欺騙用戶,同時也能屏蔽殺軟,讓它運行不起來。
當然這個手段的解決辦法也十分簡單,那就是改一下文件名,應用程序就又能使用了,然后去修改恢復注冊表項。
下面是實際的實現:
目標程序:Server.exe 是自己寫的一個mfc小程序
劫持之前:
執行映像劫持之后:
此時雙擊Server.exe 出來的就不是原來的程序,而是計算器。
修改文件名,和刪除注冊表項都可以解決這個問題。
其實就是簡單的注冊表操作,但是功能很強大,也比較脆弱。
附上源碼:
#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
int main()
{
WCHAR DllFullPath[MAX_PATH] = L"calc.exe";
DWORD Value = 1;
HKEY hKey;
DWORD dwDisposition;
LPCTSTR SetData = L"Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Server.exe";
if (ERROR_SUCCESS == RegCreateKeyEx(HKEY_LOCAL_MACHINE, SetData, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &hKey, &dwDisposition))
{
if (ERROR_SUCCESS == RegSetValueEx(hKey, L"Debugger", NULL, REG_SZ, LPBYTE(DllFullPath), sizeof(DllFullPath)))
{
printf("Image hijacking Success!
");
}
}
getchar();
RegCloseKey(hKey);
return 0;
}
總結
以上是生活随笔為你收集整理的IFEO 映像文件劫持的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Juniper总结
- 下一篇: 这样退出微信PC端微信电脑版如何退出