免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
IFEO
IFEO,全称是Image File Execution Options,是Windows操作系统中的功能。主要用于开发人员调试程序。当指定的程序启动时,Windows会检查注册表中的IFEO键,以决定是否重定向该程序,或附加一个调试器。
IFEO映像劫持
根据IFEO的定义可知,当我们运行程序时,首先会去查询IFEO注册表,如果IFEO注册表中存在跟进程名称相同的子键,就会进一步获取子键中的"debugger"键值,如果键值不为空,系统则会把 Debugger 参数里指定的程序文件名作为用户试图启动的程序处理。
IFEO的键值路径为:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Option
-
屏幕键盘:C:WindowsSystem32osk.exe
-
放大镜:C:WindowsSystem32Magnify.exe
-
旁白:C:WindowsSystem32Narrator.exe
-
显示切换器 C:WindowsSystem32DisplaySwitch.exe
-
应用切换器:C:WindowsSystem32AtBroker.exe
复现
直接执行cmd写入注册表,劫持edge浏览器:
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsedge.exe" /v "Debugger" /t REG_SZ /d "C:UsersfatmoDesktopshell.exe" /f然后当目标打开edge浏览器时,木马就会上线:
防范
监听注册表IFEO键的写入操作。
原文始发于微信公众号(赛博安全狗):【权限维持技术】Windows IFEO映像劫持
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论