“HKEY_LoCAL_MACHinE\soFTwARE\Microsoft\windowsnT\CurrentVersion\image File Executionoptions”内,使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等,大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的结果,也简单导致注册表冗余,于是iFEo使用忽略路径的方式来匹配它所要控制的程序文件名。
怎么映像劫持?
HKEY_LoCAL_MACHinE\soFTwARE\Microsoft\windows nT\CurrentVersion\image File Execution options\
2、然后选上image File Execution options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
3、选上123.exe这个项,然后默认右边是空白的,你们点右键,新建个“字串符”,然后改名为“debugger“
4、这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实便是路径)。。
5、把它改为 C:\windows\system32\CMd.exe
注:C:是系统盘,如果您系统安装在d则改为d:如果是nT或2K的系统的话,把windows改成winnt,下面如有再提起,类推。
好了,实验下。
6、然后找个扩展名为ExE的,(我这里拿icesword.exe做实验),改名为123.exe。
10、然后运行。出现了dos操作框,不知情的看着一闪闪的光标,肯定觉得特诡异。
很容易的说,你们利用映像劫持 让运行123.exe时直接转向运行CMd.exe。
所以通过上述办法可以达到以下目的:
1、运行正常程序而被转向运行木马病毒文件;
2、直接屏蔽一些软件的使用,这些软件包括杀毒软件。
nT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。
怎么防止映像劫持?
办法一:通过权限限制
它要修改image File Execution options,所先要有权限,才可读,于是,一条思路就成了。
打开注册表编辑器,定位到[HKEY_LoCAL_MACHinE\soFTwARE\Microsoft\windowsnT\CurrentVersion\imageFileExecutionoptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。
办法二、直接删除
打开注册表编辑器,定位到[HKEY_LoCAL_MACHinE\soFTwARE\Microsoft\windowsnT\CurrentVersion\,把“imageFileExecutionoptions”项删除即可。
一般来说你们不如何会使用到imageFileExecutionoptions项,所以删除也可以杜绝映像劫持
