windows-权限维持IFEO映像劫持

2021/12/26 7:11:57

本文主要是介绍windows-权限维持IFEO映像劫持,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

windows-权限维持IFEO映像劫持

运用背景:具备系统管理员权限

简介

映像劫持其实是Windows内设的用来调试程序的功能,但是现在却往往被病毒恶意利用。当用户双击对应的程序后,操作系统就会给外壳程序(例如“explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。

原理:是注册表路径下IFEO(image file execution options)的exe程序被修改,然后进行重定向执行门程序的过程,也就是说你在执行A程序时候,由于IFEO劫持的原因执行了B程序

注册表IFEO的具体位置

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

 

 

Debugger值

在运行某exe程序时候,系统会在注册表image file execution option中寻找是否存在exe的项

在进一步去寻找是否有Debugger字符串的值

其优先权>该程序的绝对路径的程序

 

 

 

以下是操作过程

一. 劫持sethc.exe程序运行后门

在IFEO中添加一个项,取名为sethc.exe(快捷键按5下shift键)

新建一个字符串值Debugger,键值修改为cmd的绝对路径

 

 

 

连续按5下shift直接弹出cmd命令框

 

 

 

可以将Debugger后的路径换成后门路径,这样可以实现远程用户未登陆状态下继续上线

二.劫持杀软运行后门

1.查看杀软位置,看到程序名为360Safe.exe

 

 

2.在ifeo处建立程序为360Safe.exe,再将debugger的值再次更改

 

 

 

这样每次运行杀软的时候会弹出cmd命令框

 

 

 

命令行操作

​
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Users\132\Desktop\1233\beacon.exe" /f

三.更改GlobalFlag值达到使程序A静默退出结束后,会执行程序B

具体操作如下:

1.在注册表中创建WINWORD.EXE,并创建名为- GlobalFlag 类型为REG_DWORD ,值为200

 

 

 

2.跳转于SilentProcessExit文件夹下创建名为WINWORD.EXE的项,再创建两个键值

reportingmode和monitorprocess

 

 

 

 

ReportingMode是进程操作状态
1是进程静默退出,会启动监视器进程
2检测进程静默退出,将会为受监视的进程创建转储文件
3检查到进程静默退出时,会弹出通知

而monitorprocess对应的是监听器的位置

所以这里写1,那么在我们运行word文档之后退出就会运行监听器

 

 

 

相关资料参考: https://baijiahao.baidu.com/s?id=1652498301060746641&wfr=spider&for=pc https://cloud.tencent.com/developer/article/1672598 https://422926799.github.io/posts/9a523925.html



这篇关于windows-权限维持IFEO映像劫持的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程