注册表修改镜像劫持
所谓镜像劫持就是在想运行A文件,但结果运行的是B文件。
注册表中的修改位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
(注意:很多杀毒软件或防火墙会监控Image File Execution Options里的修改,因此直接修改会被禁止。)
下面举个实例来实现镜像劫持:
将QQ.exe镜像劫持为D盘目录中的一病毒文件abc.exe。
1、打开注册表相应位置;
2、临时关闭下杀毒软件及防火墙的保护功能;
4、在Image File Execution Options 里→ 新建项,命名QQ.exe;
5、QQ.exe键值右边空白处 新建→ 字符串值,命名Debugger,内容填D:\abc.exe;
6、关闭注册表,再恢复杀毒软件及防火墙保护功能。
好了。现在去运行QQ,但每次实际运行的都是D:\abc.exe文件了。
也可以将目标文件劫持到一个空的程序文件,可实现屏蔽目标文件的作用。
空程序,会编程的可很方便的写个,不会编程的也可直接用操作系统自带的系统文件。比如:C:\Windows\System32\svchost.exe。
最新评论