windows-权限维持IFEO映像劫持
作者:互联网
windows-权限维持IFEO映像劫持
运用背景:具备系统管理员权限
简介
映像劫持其实是Windows内设的用来调试程序的功能,但是现在却往往被病毒恶意利用。当用户双击对应的程序后,操作系统就会给外壳程序(例如“explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。
原理:是注册表路径下IFEO(image file execution options)的exe程序被修改,然后进行重定向执行门程序的过程,也就是说你在执行A程序时候,由于IFEO劫持的原因执行了B程序
注册表IFEO的具体位置
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Debugger值
在运行某exe程序时候,系统会在注册表image file execution option中寻找是否存在exe的项
在进一步去寻找是否有Debugger字符串的值
其优先权>该程序的绝对路径的程序
以下是操作过程
一. 劫持sethc.exe程序运行后门
在IFEO中添加一个项,取名为sethc.exe(快捷键按5下shift键)
新建一个字符串值Debugger,键值修改为cmd的绝对路径
连续按5下shift直接弹出cmd命令框
可以将Debugger后的路径换成后门路径,这样可以实现远程用户未登陆状态下继续上线
二.劫持杀软运行后门
1.查看杀软位置,看到程序名为360Safe.exe
2.在ifeo处建立程序为360Safe.exe,再将debugger的值再次更改
这样每次运行杀软的时候会弹出cmd命令框
命令行操作
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Users\132\Desktop\1233\beacon.exe" /f
三.更改GlobalFlag值达到使程序A静默退出结束后,会执行程序B
具体操作如下:
1.在注册表中创建WINWORD.EXE,并创建名为- GlobalFlag 类型为REG_DWORD ,值为200
2.跳转于SilentProcessExit文件夹下创建名为WINWORD.EXE的项,再创建两个键值
reportingmode和monitorprocess
ReportingMode是进程操作状态
1是进程静默退出,会启动监视器进程
2检测进程静默退出,将会为受监视的进程创建转储文件
3检查到进程静默退出时,会弹出通知
而monitorprocess对应的是监听器的位置
所以这里写1,那么在我们运行word文档之后退出就会运行监听器
相关资料参考: https://baijiahao.baidu.com/s?id=1652498301060746641&wfr=spider&for=pc https://cloud.tencent.com/developer/article/1672598 https://422926799.github.io/posts/9a523925.html
标签:劫持,exe,Debugger,windows,程序,映像,注册表,IFEO 来源: https://www.cnblogs.com/anquankeyinyang/p/15730629.html