镜像劫持查杀工具镜像劫持究竟有多厉害

栏目：IIS7网站监控时间：2020-12-09 14:48

镜像劫持
所谓的镜像劫持，就是在注册表的
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\Image File Execution Options]
处新建一个以杀毒软件主程序命名的项，
例如aaa.exe。然后再创建一个键“Debugger=\" C:\\WINDOWS\\system32\\bbb.exe”。
在启动名字为aaa.exe的程序的时候bbb.exe会被自动运行。
而且如果不在bbb.exe里面什么也不干。aaa.exe就不会被运行，bbb.exe的参数里会得到aaa.exe程序相关。
如果本机安装了360的话直接手动改注册表的话会失败：
想办法停掉服务，之后还是失败。驱动在保护。
卸载360或者采取依他方式修改。如果是没装360的话之后就就能修改了。
修改相关注册表成功之后把一个测试程序命名000.exe，然后双击运行：
改成123.exe后双击运行，发现源程序没有被加载。而对应的相关cmd.exe程序被成功启动。
TIP:
如果直接修改注册表失败，可以尝试直接提权或者相关注入替换。再或者可以尝试通过重命名干坏事最后名称改成保护的方式等等
常见的被修改的地方：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunHKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\AppInit_DLLs
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
等等。

上一篇：镜像劫持查杀镜像劫持是什么病毒，怎么查杀？

下一篇：局部网域名劫持局域网内DNS劫持处理方法

立即下载 - IIS7 站长工具包