相信大家对各种流氓软件，流氓行为都不陌生，这其中有一种通过注册表项【Image File Execution Options】进行劫持的方法，或许一些朋友对Image File Execution Options不太了解，下面小编简单的和大家分享一下映像劫持,注册表Image File Execution Options作用及使用办法。

映像劫持（Image File Execution Options，IFEO）技术的利用，存在已久。大都是修改“Debugger“项值，替换执行程序，加以利用。歪果仁最近在研究IFEO的相关项值时，发现了GlobalFlag这个特殊的项值，在进一步测试时，发现了一种基于IFEO的新后门利用方式。本着求知探索的科学精神。本文对此技术进行分析总结。

0x02 映像劫持简介

映像劫持（Image File Execution Options），简单的说法，就是当你打开的是程序A，而运行的确是程序B。

映像劫持其实是Windows内设的用来调试程序的功能，但是现在却往往被病毒恶意利用。当用户双击对应的程序后，操作系统就会给外壳程序（例如“explorer.exe”）发布相应的指令，其中包含有执行程序的路径和文件名，然后由外壳程序来执行该程序。事实上在该过程中，Windows还会在注册表的上述路径中查询所有的映像劫持子键，如果存在和该程序名称完全相同的子键，就查询对应子健中包含的“dubugger”键值名，并用其指定的程序路径来代替原始的程序，之后执行的是遭到“劫持”的虚假程序

IEEO位于注册表项中

“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”

注意的是，Win7后的系统，需要管理员权限才能够对一项做出修改。之前的病毒，喜欢修改这个注册表项，达到劫持系统程序的作用。

下面，做的是一个简单的测试：管理员权限，打开CMD，执行下列修改注表的命令。

reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe" /v debugger /t REG_SZ /d "c:windowssystem32calc.exe"。

可以看到：打开notepad.exe，而运行起来的是计算器。

0x03 映像劫持新玩法

如上文中所讲述，修改IFEO中的“debugger”键值，用来替换原有程序的执行。而新的利用方法，实现的效果是：程序A静默退出结束后，会执行程序B。

在网上收集资料整理后发现， Image File Execution Options下可以设置以下值项（值只是部分，只能感慨，微软没告诉我们的东西还真多啊）。其中GlobalFlag是本次测试的关键点：

Debugger,DisableHeapLookaside, ShutdownFlags,MinimumStackCommitInBytes,ExecuteOptions,GlobalFlag,DebugProcessHeapOnly,ApplicationGoo,RpcThreadPoolThrottle,PageHeapFlags,DisableHeapLookAside,DebugProcessHeapOnly,PageHeapSizeRangeStart,PageHeapSizeRangeEnd,PageHeapRandomProbability,PageHeapDllRangeStart,PageHeapDllRangeEnd,……

歪果仁本是想弄清楚ApplicationGoo这个项值的作用，无奈却毫无头绪。但是在MSDN的博客上，发现热心人士对GlobalFlag的这个项值的发表的一些看法。爱实践的歪果仁下载安装了GFlages.exe 开始分析。真是山重水复疑无路，柳暗花明又一村。这便是突破口。

0x04 GFlages.exe进行测试

按照MSDN博客的说法，笔者也尝试安装GFlages.exe进行测试。中间遇到一些小坑，GFlages.exe是包含在 Debugging Tools for Windows(WinDbg)下的。网上现有都是通过安装完整的Windows SDK。很折腾，经过一番搜索，找到一下dbg的单独安装包，感谢作者分享。

在Silent Process Exit这个选项卡中发现了挺有趣的东西。根据微软官方介绍，从Windows7开始，可以在Silent Process Exit选项卡中，可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。

填入如上配置，点击应用、确定，开始测试。使用Process Explorer进行检测进程的变化。注意，在进行此次测试之前，请先把IFEO中notepad.exe项删除。

打开notepad.exe,关闭后，随之计算器弹出。在Process Explorer上可以看到计算器已经被系统调起。

0x05 原理分析

根据微软的官方文档描述，在Silent Process Exit选项卡中的配置，都保存在注册表中。经过分析，等值，主要修改了以下两个表项。