-
映像劫持,注册表Image File Execution Options作用及使用办法(2)
- 作者:李莉火 分类:电脑技术 发布时间:2023-02-22 17:03:00
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe 这么一来,可...
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe
这么一来,可以直接在命令行中对注册表进行设置,需要管理员权限。
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe" /v GlobalFlag /t REG_DWORD /d 512reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe" /v ReportingMode /t REG_DWORD /d 1reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe" /v MonitorProcess /t REG_SZ /d "c:windowssystem32taskmgr.exe" 简单解释一下ReportingMode和MonitorProcess 这两个项值的作用。MonitorProcess的值表示监视器进程。Reporting Mode可以设置为三个值 。
LAUNCH_MONITORPROCESS | 0x1 | 检测到进程静默退出时,将会启动监视器进程(在GFLAGS.exe中,Silent Process Exit这个选项卡所填写的值,即MonitorProcess的项值) |
LOCAL_DUMP | 0x2 | 检测到进程静默退出时,将会为受监视的进程创建转储文件 |
NOTIFICATION | 0x4 | 检查到进程静默退出时,将会弹出一个通知 |
0x06 检测及查杀
排查HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 以及HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit项值是否存在关联。分析系统日志,日志ID为3000和3001,即有可能存在后门威胁。直接删除IFEO项或者设置管理员不可修改0x07 总结
本文分析总结了关于映像劫持的的一种新型后门技术:当一个程序关闭时会允许执行其他的二进制文件。且Autorun暂时检测不到。该技巧需要管理员权限,普通用户没有执行权限。可以结合ADS技术(alternate data streams,NTFS交换数据流)执行,更加的隐蔽。感兴趣的同学可以自己测试一下。本文由网络上转载。猜您喜欢
- 超小容量UltraISO磁盘映像,解密存储空..2024-03-27
- 虚拟机光盘映像无系统?处理疑难不再..2024-03-09
- 一键清理Windows注册表垃圾,这些命令..2024-02-24
- 轻松掌握:Windows 11注册表编辑器打开..2023-12-28
- 轻松掌握:Win10如何还原系统映像,让..2023-12-23
- 掌握新技巧!Win10查看注册表的方法解..2023-12-19
相关推荐
- 怎么启动任务管理器,任务管理器在哪..2017-05-06
- rtx显卡排行_2020年最新英特尔rtx显卡排..2021-06-08
- 网络共享:无线网络安装向导怎么设置..2020-12-30
- 显卡驱动崩溃?一招教你轻松重新安装..2023-12-12
- 掌握PS反选快捷键,瞬间提高修图效率..2023-12-30
- 电脑定时关机命令不支持怎么办_电脑..2021-06-13