IFEO的利用

  1. 引言
  2. 开始
    1. 目标1
      1. 步骤
        1. 编写一些奇怪的东西
        2. 修改注册表
        3. 检验成果
    2. 目标2
      1. 步骤
        1. 编写一些奇怪的东西
        2. 修改注册表
        3. 一点小说明

引言

#资料来源:【安全客】隐蔽后门——Image File Execution Options新玩法

IFEO(Image File Execution Options,映像劫持),简单来说,就是用户打开的是程序A,但运行的是程序B。病毒经常以这种形式来运行。

开始

目标1

命令行输入whoami时输出指定字符串。

步骤

编写一些奇怪的东西

可以用bat,也可以用exe

推荐bat,因为exe可能会:

示例bat如下:

@echo Your Dear Father

修改注册表

IFEO位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,添加如图所示的信息:

检验成果

(无需重启)

hhhhhhh

目标2

关闭记事本后在命令行输出指定字符

步骤

编写一些奇怪的东西

@pause

修改注册表

添加如下信息:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit

一点小说明

ReportingMode一共有三个值:

Flag 解释
0x1 LAUNCH_MONITORPROCESS 检测到进程静默退出时(即本例中记事本退出时)启动监视器进程(即test.bat)
0x2 LOCAL_DUMP 检测到进程静默退出时,将会为受监视的进程创建转储文件
0x4 NOTIFICATION 检查到进程静默退出时,将会弹出一个通知(没写错,就是0x4)

如果我的文章能帮到您的话我会很开心.如需转载记得注明出处:)
目录