映像劫持,注册表Image File Execution Options作用及使用办法

映像劫持技术的应用与分析

大家都不陌生于各种流氓软件和流氓行为，其中一种常见的劫持方法是通过注册表项【ImageFileExecutionOptions】。也许有些朋友对ImageFileExecutionOptions并不了解，下面我将简单介绍映像劫持，注册表ImageFileExecutionOptions的作用和使用方法。

映像劫持简介

映像劫持（ImageFileExecutionOptions，IFEO）技术一直存在已久。主要是通过修改“Debugger”项值，来替换执行程序，进行利用。最近在研究IFEO相关项值时，发现了一个特殊的项值叫GlobalFlag，通过进一步测试，发现了一种基于IFEO的新后门利用方式。本文将对这一技术进行深入分析和总结。

映像劫持其实是Windows内置的用来调试程序的功能，但现在往往被恶意软件利用。当用户双击某个程序时，操作系统会向外壳程序（如“explorer.exe”）发布相应指令，包括执行程序的路径和文件名，然后由外壳程序来执行该程序。在这个过程中，Windows会在注册表的路径中查找所有的映像劫持子键，如果存在与程序名称完全相同的子键，就会使用子键中指定的程序路径来代替原始程序，实际执行的将是被“劫持”的虚假程序。

映像劫持新玩法

除了修改IFEO中的“Debugger”键值来替换原有程序的执行，还有一种新的利用方法：当程序A静默退出后，会自动执行程序B。在网上进行资料收集整理后，发现ImageFileExecutionOptions下可以设置多个值项，其中GlobalFlag是本次测试的关键点。通过实践和下载安装GFlages.exe进行分析，探索了新的突破口。

GFlages.exe进行测试

根据MSDN博客的介绍，我尝试安装GFlages.exe进行测试。虽然遇到了一些小问题，但最终成功找到了单独安装包。在SilentProcessExit选项卡中，发现了一些有趣的设置。根据微软官方介绍，从Windows7开始，可以在此选项卡中启用和配置对进程静默退出的监视操作。我填入配置后进行测试，使用ProcessExplorer检测进程变化，确认了测试效果。

原理分析

根据微软官方文档描述，在SilentProcessExit选项卡中的配置都保存在注册表中。经过分析，主要修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ImageFileExecutionOptions\notepad.exe和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe这两个表项。通过命令行对注册表进行设置，需要管理员权限。

检测及查杀排查

在进行此次测试之前，需要先删除IFEO中的notepad.exe项。通过分析系统日志，查看日志ID为3000和3001，可以判断是否存在后门威胁。直接删除IFEO项或设置为管理员不可修改可以有效防范。

总结

本文分析了一种新型映像劫持技术：当一个程序关闭时，会执行其他二进制文件，且Autorun暂时无法检测到。该技巧需要管理员权限，普通用户无法执行。结合ADS技术（NTFS交换数据流）使用，更加隐蔽。感兴趣的同学可以尝试测试。本文内容转载自网络，希望对大家有所帮助。