标签:劫持 exe Debugger windows 程序 映像 注册表 IFEO
windows-权限维持IFEO映像劫持
运用背景:具备系统管理员权限
简介
映像劫持其实是Windows内设的用来调试程序的功能,但是现在却往往被病毒恶意利用。当用户双击对应的程序后,操作系统就会给外壳程序(例如“explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。
原理:是注册表路径下IFEO(image file execution options)的exe程序被修改,然后进行重定向执行门程序的过程,也就是说你在执行A程序时候,由于IFEO劫持的原因执行了B程序
注册表IFEO的具体位置
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Debugger值
在运行某exe程序时候,系统会在注册表image file execution option中寻找是否存在exe的项
在进一步去寻找是否有Debugger字符串的值
其优先权>该程序的绝对路径的程序
以下是操作过程
一. 劫持sethc.exe程序运行后门
在IFEO中添加一个项,取名为sethc.exe(快捷键按5下shift键)
新建一个字符串值Debugger,键值修改为cmd的绝对路径
连续按5下shift直接弹出cmd命令框
可以将Debugger后的路径换成后门路径,这样可以实现远程用户未登陆状态下继续上线
二.劫持杀软运行后门
1.查看杀软位置,看到程序名为360Safe.exe
2.在ifeo处建立程序为360Safe.exe,再将debugger的值再次更改
这样每次运行杀软的时候会弹出cmd命令框
命令行操作
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Users\132\Desktop\1233\beacon.exe" /f
三.更改GlobalFlag值达到使程序A静默退出结束后,会执行程序B
具体操作如下:
1.在注册表中创建WINWORD.EXE,并创建名为- GlobalFlag 类型为REG_DWORD ,值为200
2.跳转于SilentProcessExit文件夹下创建名为WINWORD.EXE的项,再创建两个键值
reportingmode和monitorprocess
ReportingMode是进程操作状态
1是进程静默退出,会启动监视器进程
2检测进程静默退出,将会为受监视的进程创建转储文件
3检查到进程静默退出时,会弹出通知
而monitorprocess对应的是监听器的位置
所以这里写1,那么在我们运行word文档之后退出就会运行监听器
相关资料参考: https://baijiahao.baidu.com/s?id=1652498301060746641&wfr=spider&for=pc https://cloud.tencent.com/developer/article/1672598 https://422926799.github.io/posts/9a523925.html
标签:劫持,exe,Debugger,windows,程序,映像,注册表,IFEO 来源: https://www.cnblogs.com/anquankeyinyang/p/15730629.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。