| 动画介绍:大家好,我是≮傷乄口≯。今天给大家带来的是我对映像劫持技术的一些理解与演示。
安全中国是个很不错的站,希望大家常去看看。下面教程开始。
原理
所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下。由于这个项主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和local system有权读写修改。
关于这个技术大家从网上都找的到的,我今天就给大家演示下。
今天用到的软件有 DMDEPack.exe 这是倒霉蛋儿做的一个壳,说是过主动的,其实这个壳本身就是被查杀的,所以我把瑞星禁用了。今天我们关注的不是免杀,看这个壳是怎么把大家的杀软“隐藏”的。
SaveFile.exe 这个文件是我把 ≮傷乄口≯御用记事本.exe 加上那个壳后的文件,我运行下,大家看我的注册表的变化。因为加了壳,反应有些慢,看我杀软 大家看到我的杀软了吧 这就是今天演示这个壳的主要作用,再看我的360 这是什么原因呢,大家看注册表 看我注册表运行前和运行后的变化,因为为了节约大家时间我提前抓了两张图,大家对比下。大家看到没,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下 被写如了很多常用杀软的项目。
大家看到了什么,加这个壳后的软件运行后会在注册表的然后用debugger把这个杀软的可执行文件重定位了,所以,当你再次运行你的杀软时其实他是运行的另外的一个东西。说到这,大家好好想想,我们平时可以利用这个技术做点什么呢,呵呵,大家心里知道就好了。
也就是说其实那个壳就是利用了映像劫持的技术。
好,现在我给大家写个reg文件,让大家看直观的看看。
首先我给大家解释下这三句话
Windows Registry Editor Version 5.00 //这个是说的注册表编辑器的版本号
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe] //这句话要做的是在Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下新建一个项目
Debugger=C:\Documents and Settings\zhaosong\桌面\≮傷乄口≯御用记事本.exe //这句话是要把你要劫持的文件重定位到的地方
大家在写这个文件的时候要注意两点
1 这个debugger要加引号 后面你要重定位的文件也要加引号
2 是重定位文件的安装目录那一定要是两条反斜线,不然debugger写不进去,因为我看到网上绝大部分这篇文章的转载那都写错了,大家一定要注意。
我们运行下,看看把qq重定位了没。呵呵,不好意思 这样就好了 看到没,重定位了吧。
下面大家想想,我们这样才能在利用这个技术的同时而不被这个技术利用呢,呵呵,因为现在很多病毒都用了这个技术。有两点可以帮助我们避开他。
1 我们把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 的权限改下
2 我们直接把这项删除掉
下面看我操作,我就不打字了。
看来无法删除,我也不知道什么原因,可只要我们做到第一点,把权限改了就没问题了。 | 
安全中国首页 > 动画中心 > 综合教程
