【权限维持技术】Windows IFEO映像劫持

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

IFEO

IFEO，全称是Image File Execution Options，是Windows操作系统中的功能。主要用于开发人员调试程序。当指定的程序启动时，Windows会检查注册表中的IFEO键，以决定是否重定向该程序，或附加一个调试器。

IFEO映像劫持

根据IFEO的定义可知，当我们运行程序时，首先会去查询IFEO注册表，如果IFEO注册表中存在跟进程名称相同的子键，就会进一步获取子键中的"debugger"键值，如果键值不为空，系统则会把 Debugger 参数里指定的程序文件名作为用户试图启动的程序处理。

IFEO的键值路径为：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Option

• 屏幕键盘：C:WindowsSystem32osk.exe

• 放大镜：C:WindowsSystem32Magnify.exe

• 旁白：C:WindowsSystem32Narrator.exe

• 显示切换器 C:WindowsSystem32DisplaySwitch.exe

• 应用切换器：C:WindowsSystem32AtBroker.exe

复现

直接执行cmd写入注册表，劫持edge浏览器：

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsedge.exe" /v "Debugger" /t REG_SZ /d "C:UsersfatmoDesktopshell.exe" /f

然后当目标打开edge浏览器时，木马就会上线：

防范

监听注册表IFEO键的写入操作。

原文始发于微信公众号（赛博安全狗）：【权限维持技术】Windows IFEO映像劫持