【每日一记8】第三天+科普镜像劫持

镜像劫持简介
    “镜像劫持”，又叫“映像劫持”，也被称为“IFEO”（Image File Execution Options），在Windows NT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。
     简单来说，当我想运行A.exe，结果运行的却是B.exe，也就是说在这种情况下A程序被B程序给劫持了，而映像劫持病毒就是通过修改某些注册表常用项的键值，达到在用户无意识的情况下想运行常用程序却让木马等恶意程序在后台运行的目的。


镜像劫持原理及实现
原理：
    为了实现镜像劫持，需要先找到镜像劫持在注册表中的路径，“HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Image File ExecutionOptions”。
    然而WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，会先检查运行程序是不是可执行文件，如果是的话，再检查格式，然后就会检查是否存在。由此我们发现，造成镜像劫持的罪魁祸首就是参数“Debugger”，他是IFEO里第一个被处理的参数，若果该参数不为空，系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理，而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去。参数“Debugger”本来是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序。现在却成了病毒的攻击手段。

    让我们进行更深的思考，当更改的表项是杀毒软件所在的表项，会造成什么后果。毫无疑问，杀毒软件完全没办法工作，不仅绕过了杀毒软件还隐秘的执行了自己的恶意程序，一般用户根本想不到杀毒软件的注册表项会被篡改，这就进一步增加了攻击后可利用的时间。危害性不言而喻。


实现：
接下来我做个小测试：

找到QQ浏览器的注册表路径，新增一个debugger，然后键值填写cmd的路径

然后测试效果！打开浏览器的时候，弹出来是cmd。

感谢分享

学习学习

多谢分享了。对于原理讲解的很透彻，还配了截图，完美。

感谢分享