実際の戦闘でのIFEO画像ハイジャックの使用



Use Ifeo Image Hijacking Actual Combat



1.イメージハイジャック(IFEO)とは何ですか?

いわゆるIFEOは画像ファイル実行オプションであり、文字通り画像ハイジャックとして翻訳されます。「リダイレクションハイジャック」(リダイレクションハイジャック)とも呼ばれます。これは「ImageHijack」(またはIFEO Hijack)とは異なる名前であり、実際には同じ技術的手段です。言葉で言えば、それは特定の操作をしている間、そして他のことをしている間に傍受されることを意味します。



運用の詳細については、SCO Tianwang SecurityLaboratoryをご覧ください。

データフローリダイレクト



http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014091814145000001


第二に、画像ハイジャックの使用



1、バックドアの永続性。システムがログインしていないときにショートカットキーを使用して独自のプログラムを実行できます(たとえば、Shiftキーを押しながら5回表示されるスティッキーキーを押します)。Sethc.exe、およびWindows + Uキーの組み合わせが使用されたときに起動するutilman.exeプログラム)

以下の詳細

  • オンスクリーンキーボード:C:WindowsSystem32osk.exe

  • 拡大鏡: C:WindowsSystem32Magnify.exe

  • ナレーター:C:WindowsSystem32Narrator.exe

  • ディスプレイスイッチャー C:WindowsSystem32DisplaySwitch.exe

  • アプリケーションスイッチャー:C:WindowsSystem32AtBroker.exe

2.権利の使用:たとえば、データベースのルートを取得した場合、sa権限で画像のハイジャックを試すこともできます(奇妙な効果が生じることがよくあります)

3、追加する皆さんを歓迎します。

3、実際の操作

3.1ハイジャックすなわちcmdを開く

1.レジストリ内

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Imageファイル実行オプション
レジストリキーは、iexplore.exeなど、ハイジャックするプログラムの名前を持つサブキーを作成します(パスを設定する必要がないため、設定後、システム内のiexplore.exeという名前のすべての実行可能ファイルがハイジャックされます)


2.新しく追加されたサブキー(サブキーの属性と呼ばれる必要があります)に文字列値を追加します。名前はDebuggerで、値はcmd.exe(プログラムのフルパス)などの実行するプログラムです。

3. ieブラウザーを開きます。この時点で、cmdが開始されています。

一部のウイルスは、システムのこの機能を利用して、ウイルス対策ソフトウェアプログラムを実行し、ウイルス本体を再度実行します。また、一部のウイルスは、イメージハイジャックを使用してさまざまなプログラムをハイジャックし、システムのさまざまなディレクトリに複数のコピーを持ちます。別のコピーを指すパス。これは、単一のウイルス本体が強制終了プロセスによって削除された後に一部のウイルスが復活する理由の1つです。

コマンドを直接使用することもできます。

reg add'HKLM SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options notepad.exe '/ v Debugger / t REG_SZ / d C: WINDOWS system32 cmd.exe

3.2終了時にcmdを開くためにメモ帳をハイジャックする

CurrentVersionにGlobalFlagを登録します

SilentProcessExitにReportingModeとMonitorProcessを登録します

最後に、メモ帳を終了すると、cmdが開始されたことがわかりました(ここではアニメーションは省略されており、脳は自分で補完されています)

直接注文

reg add 'HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options otepad.exe' /v GlobalFlag /t REG_DWORD /d 512 reg add 'HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit otepad.exe' /v ReportingMode /t REG_DWORD /d 1 reg add 'HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit otepad.exe' /v MonitorProcess /d 'C:WindowsSystem32cmd.exe'

Ps:regコマンドはリファレンスを参照してください

参照

https://baike.baidu.com/item/%E6%98%A0%E5%83%8F%E5%8A%AB%E6%8C%81IFEO/8522843?fr=aladdin

https://www.cnblogs.com/fanyf/p/4221488.html

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/

提出することを忘れないでください

誰もが良い技術的なオリジナル記事を持っています

貢献は電子メールに歓迎されています:root @ xxxxx

Hetianは、適時性、新規性、文体、実用性などに基づいて記事を判断します。200元-800元さまざまな原稿料金

才能のある、来てあなたの論文を提出してください!

提出の詳細については、クリックしてください- 大きな報酬|ヘティアンの元々の提出料金が上がりました!