首页 > 1 软件使用心得 > 注册表修改镜像劫持

注册表修改镜像劫持

2012年6月16日 AEROFISH 1,705 views 发表评论 阅读评论

所谓镜像劫持就是在想运行A文件,但结果运行的是B文件。

注册表中的修改位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

(注意:很多杀毒软件或防火墙会监控Image File Execution Options里的修改,因此直接修改会被禁止。)

下面举个实例来实现镜像劫持:

将QQ.exe镜像劫持为D盘目录中的一病毒文件abc.exe。

1、打开注册表相应位置;

2、临时关闭下杀毒软件及防火墙的保护功能;

4、在Image File Execution Options 里→ 新建项,命名QQ.exe;

5、QQ.exe键值右边空白处 新建→ 字符串值,命名Debugger,内容填D:\abc.exe;

6、关闭注册表,再恢复杀毒软件及防火墙保护功能。

好了。现在去运行QQ,但每次实际运行的都是D:\abc.exe文件了。

也可以将目标文件劫持到一个空的程序文件,可实现屏蔽目标文件的作用。

空程序,会编程的可很方便的写个,不会编程的也可直接用操作系统自带的系统文件。比如:C:\Windows\System32\svchost.exe。

【最后修改时间:2013年2月16日】

本文对我无帮助,减1分本文对我有帮助,加1分 (本文对您有帮助吗?)
Loading ... Loading ...

  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.