文档章节

实例讲解映像劫持的使用技巧——通过映像劫持实现Notepad2替换记事本

barlcky
 barlcky
发布于 2015/05/25 13:44
字数 400
阅读 40
收藏 1

所谓“映像劫持”,就是Image File Execution Options,是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果存在这个参数的话,就运行这个参数中指定的程序。

作为一名系统管理员,实际上对于“映像劫持”技术应该并不陌生,只不过更多的是负面印象,因为众多病毒都是使用这种方式运行,达到隐蔽自己的目的。微软设置这一功能,自然不会是为了病毒而开辟的,而是作为一项调试功能。所以,善加利用的话,就能够达到意想不到的效果。

本例就是使用了该技术,将原本系统默认的记事本,改成了功能更为全面的Notepad2,不但不需要修改文件关联,也无需修改系统文件,避免了以往的文件替换法导致的系统更新后就失效的问题。

大体原理是这样的,修改Image File Execution Options键值后,在有notepad.exe运行请求的时候,就欺骗系统转而运行notepad2.exe:

  1. 创建如下注册表项:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe,如果无法修改,需要先右键取得权限;
  2. 在notepad.exe注册表项中,创建名为Debugger的字符串值(REG_SZ);
  3. 修改字符串值Debugger的数据为Notepad2.exe的完整路径,最后以 /z参数结尾。
    如:"D:Program FilesNotepad2Notepad2.exe" /z

本文转载自:http://www.barlcky.me/?p=43

上一篇: 最怕的事情
下一篇: 弱者情结
barlcky
粉丝 2
博文 61
码字总数 0
作品 0
嘉定
产品经理
私信 提问
通过映像劫持实现Notepad2替换记事本

创建如下注册表项: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe 如果无法修改,需要先右键取得权限; 在notepad.exe注册表项中,创建名为Debug...

Vim0r
2014/10/18
0
0
映像劫持管理工具--IFEOManage

IFEOManage是一个映像劫持管理工具 开发平台 .NET Framework 4.0 / Visual Studio 2015 Community 什么是映像劫持? Image File Execution Options (IFEO) - MSDN Blogs 该工具的意义? 某些...

zsxsoft
2015/07/24
296
0
贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷

  概述   “Ghost”盗版系统和系统激活工具一直都是国内病毒传播的重要渠道之一,尤其以Rootkit/Bootkit类型的顽固病毒居多,此类病毒安装普遍早于安全软件,大多会通过内核层来隐藏保护...

FreeBuf
2018/08/03
0
0
【权限维持】window服务端常见后门技术

0x00 前言   未知攻焉知防,攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境。这里整理一些window服务端常见的后门技术,了解...

bypass
2017/10/20
0
0
激活工具带毒感染量近60万,刻意避开北京等四城用户

        一、 概述   近日,火绒安全团队发现,用户在知名下载站”系统之家”下载安装”小马激活”及”OFFICE2016″两款激活工具时,会被植入病毒”Justler”,该病毒会劫持用户浏览...

FreeBuf
2018/05/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

微信小程序

张小龙的定义 1、不需要下载安装即可使用 实际上也有下载和安装的流程,只不过安装包很小<2M,使得这两个过程很短,不易感知到 2、用户"用完即走"不用关心是否安装太多应用 适用于偶尔使用一...

星闪海洋
25分钟前
1
0
怎么修改truffle中的solidity版本?

当使用truffle开发以太坊solidity合约时,经常碰到的一个问题,就是你的solidity合约代码所要求的编译器版本,与truffle预装的solitiy编译器版本不匹配。本文将介绍如何更改truffle中的solid...

汇智网教程
25分钟前
1
0
JsonUtil工具类

使用的是fastJson package util; import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Date; import java.util.HashMap; import java.util.Map; import com.f......

嘿嘿嘿IT
26分钟前
2
0
Mementor模式

//个人感觉就想当于把某个类的某部分或全部复制一份保存在另一个类中,然后在有必要的时候用保存的复制的那部分来恢复之前的某种状态 https://blog.csdn.net/syc434432458/article/details/5...

南桥北木
31分钟前
2
0
Redis几个常见面试题目

1 什么是redis? Redis 是一个基于内存的高性能key-value数据库。 2. Memcache与Redis的区别都有哪些? 1)存储方式 Memecache把数据全部存在内存之中,断电后会挂掉,数据不能超过内存大小。 ...

jason_kiss
32分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部