镜像劫持查杀工具 镜像劫持究竟有多厉害
栏目:IIS7网站监控
时间:2020-12-09 14:48
镜像劫持
所谓的镜像劫持,就是在注册表的
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\Image File Execution Options]
处新建一个以杀毒软件主程序命名的项,
例如aaa.exe。然后再创建一个键“Debugger=\" C:\\WINDOWS\\system32\\bbb.exe”。
在启动名字为aaa.exe的程序的时候bbb.exe会被自动运行。
而且如果不在bbb.exe里面什么也不干。aaa.exe就不会被运行,bbb.exe的参数里会得到aaa.exe程序相关。
如果本机安装了360的话直接手动改注册表的话会失败:
想办法停掉服务,之后还是失败。驱动在保护。
卸载360或者采取依他方式修改。如果是没装360的话之后就就能修改了。
修改相关注册表成功之后 把一个测试程序命名000.exe,然后双击运行:
改成123.exe后双击运行,发现源程序没有被加载。而对应的相关cmd.exe程序被成功启动。
TIP:
如果直接修改注册表失败,可以尝试直接提权或者相关注入替换。再或者可以尝试通过重命名干坏事最后名称改成保护的方式等等
常见的被修改的地方:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunHKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\AppInit_DLLs
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
等等。