相信大傢對各種流氓軟件,流氓行為都不陌生,這其中有一種通過註冊表項【Image File Execution Options】進行劫持的方法,或許一些朋友對Image File Execution Options不太瞭解,下面小編簡單的和大傢分享一下映像劫持,註冊表Image File Execution Options作用及使用辦法。
映像劫持(Image File Execution Options,IFEO)技術的利用,存在已久。大都是修改“Debugger“項值,替換執行程序,加以利用。歪果仁最近在研究IFEO的相關項值時,發現瞭GlobalFlag這個特殊的項值,在進一步測試時,發現瞭一種基於IFEO的新後門利用方式。本著求知探索的科學精神。本文對此技術進行分析總結。
0x02 映像劫持簡介
映像劫持(Image File Execution Options),簡單的說法,就是當你打開的是程序A,而運行的確是程序B。
映像劫持其實是Windows內設的用來調試程序的功能,但是現在卻往往被病毒惡意利用。當用戶雙擊對應的程序後,操作系統就會給外殼程序(例如“explorer.exe”)發佈相應的指令,其中包含有執行程序的路徑和文件名,然後由外殼程序來執行該程序。事實上在該過程中,Windows還會在註冊表的上述路徑中查詢所有的映像劫持子鍵,如果存在和該程序名稱完全相同的子鍵,就查詢對應子健中包含的“dubugger”鍵值名,並用其指定的程序路徑來代替原始的程序,之後執行的是遭到“劫持”的虛假程序
IEEO位於註冊表項中
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”
註意的是,Win7後的系統,需要管理員權限才能夠對一項做出修改。之前的病毒,喜歡修改這個註冊表項,達到劫持系統程序的作用。