当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 >

    镜像劫持查杀工具 镜像劫持究竟有多厉害

    栏目:IIS7网站监控 时间:2020-12-09 14:48

         镜像劫持
         所谓的镜像劫持,就是在注册表的
         [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\Image File Execution Options]
         处新建一个以杀毒软件主程序命名的项,
         例如aaa.exe。然后再创建一个键“Debugger=\" C:\\WINDOWS\\system32\\bbb.exe”。
         在启动名字为aaa.exe的程序的时候bbb.exe会被自动运行。
         而且如果不在bbb.exe里面什么也不干。aaa.exe就不会被运行,bbb.exe的参数里会得到aaa.exe程序相关。
         如果本机安装了360的话直接手动改注册表的话会失败:
         想办法停掉服务,之后还是失败。驱动在保护。
         卸载360或者采取依他方式修改。如果是没装360的话之后就就能修改了。
         修改相关注册表成功之后 把一个测试程序命名000.exe,然后双击运行:
         改成123.exe后双击运行,发现源程序没有被加载。而对应的相关cmd.exe程序被成功启动。
         TIP:
         如果直接修改注册表失败,可以尝试直接提权或者相关注入替换。再或者可以尝试通过重命名干坏事最后名称改成保护的方式等等
    ​     常见的被修改的地方:
         HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunHKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\AppInit_DLLs
         HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify
         HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
         HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
         等等。