映像劫持简介
映像劫持(Image File Execution Options),简单的说法,就是当你打开的是程序A,而运行的确是程序B。
映像劫持其实是Windows内设的用来调试程序的功能,但是现在却往往被病毒恶意利用。当用户双击对应的程序后,操作系统就会给外壳程序(例如“explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。
简单测试
映像劫持技术的利用,存在已久,这里再简单说明下:修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下sethc.exe,添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为
C:\windows\system32\cmd.exe
之后键入五下Shift执行sethc.exe程序时便会执行cmd.exe程序。
映像劫持后门新玩法
实现效果
键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行CobaltStrike的Powershell,反弹Beacon shell 。
简单来说就是:程序A静默退出结束后,会执行程序B。
GFlages测试
文章地址:
https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/
下载gflags.exe
https://docs.microsoft.com/zh-cn/previous-versions/msdn10/gg463016(v=msdn.10)
根据微软的官方文档描述,在Silent Process Exit选项卡中的配置,都保存在注册表中。
GFlags工具自动添加并修改了“IFEO”目录下sethc.exe的GlobalFlag值。
以及SilentProcessExit下ReportingMode和MonitorProcess两个值。
这时测试会发现,当键入五下Shift时,先执行sethc.exe程序,当sethc.exe程序静默退出时,便会执行cmd.exe程序。
这么一来,可以直接在命令行中对注册表进行设置。(需要管理员权限)
1
|
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
|
2
|
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
|
3
|
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1 /f
|
4
|
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f
|
简单解释一下
ReportingMode
和
MonitorProcess
这两个项值的作用。
MonitorProcess
的值表示监视器进程。
Reporting Mode
可以设置为三个值 。
