病毒实验二-映像劫持

1、病毒实验二映像劫持【实训目的】通过映像劫持操作让学生熟悉注册表编辑器的用途以及几个相关软件的操作，为以后进行具体病毒分析打好基础。【知识准备】参见最后的附录【实训要求】学员先确定需要被劫持的映像，然后在注册表中找到：HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSION IMAGE FILE EXECUTION OPTIONS项，对目标文件进行映像劫持操作。观察效果。【实训环境】l PC一台，安装Windows XP版本。l 第三方工具autoruns软件【实训步骤】1. 选择NOTEPAD.EXE为被劫持的映像文件。打开注册表编

2、辑器（在C:WINDOWS下打开regedit.exe文件或者在开始菜单中选择“运行”，在“运行”中输入regedit亦可），在注册表中找到：HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSION IMAGE FILE EXECUTION OPTIONS项 图1也可通过AUTORUNS软件找到“映像劫持（IMAGE HIJACKS）”页，找其中任意一项，右键点击“跳转到注册表（JUMP TO）”即可跳转到此注册表项 图2右键点击该项，选择“新建”“项”图3用NOTEPAD.EXE来命名新建项，在NOTEPAD.EXE项中新建字符串

3、值，命名DEBUGGER， 图4数值数据为NTSD D ，此时记事本文件就无法正常运行了。图5图6完成后，再启动记事本程序，就会发现打不开了。也可以把该项的数值数据设定为另一文件的路径，例如：C:WINDOWSregedit.exe则此时执行notepad.exe时，就会自动跳转到运行 regedit.exe附录当前的木马、病毒似乎比较钟情于“映像劫持”，通过其达到欺骗系统和杀毒软件，进而绝杀安全软件接管系统。所谓的映像劫持（IFEO）就是Image File Execution Options，它位于注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

4、 NTCurrentVersion Image File Execution Options键值下。由于这个项主要是用来调试程序用的，对一般用户意义不大，默认是只有管理员和local User有权读写修改。虽然映像劫持是系统自带的功能，对一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个正常的程序，实际上病毒已经在后台运行了。大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个键值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC

5、urrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLsHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon NotifyHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesO

6、nce但是与一般的木马、病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。映像胁持（IFEO）就是对注册表下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options项进行修改，其目的使用户在执行被劫持程序时不予执行，而是执行另一个指定程序（像病毒），其操作

7、方法很简单：“开始”-“运行”-“regedit”：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution Options，新建个项，然后，把这个项改成avp.exe,选上这个项，然后默认右边是空白的，点右键，新建个“字串符”，然后改名为“Debugger”这一步要做好，再双击该键，修改数据数值，把它改为 C:windowssystem32Virus.exe这样，当我们再运行avp.exe（卡巴）时，就会执行C:windows

8、system32目录下的Virus.exe其原理在于：NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示“系统找不到文件”或者是“指定的路径不正确”等等。如果对于注册表一点不懂的人，想运用映像胁持技术（IFEO），也是完全可以的，跟运用脚本，批处理修改注册表是一样的。创建一个批处理文件ifeo.bat ，内容为：reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion Image File Executi

9、on Options%1 /v Debugger /t REG_SZ /d %2 /f在命令行下使用方法：ifeo ，例：ifeo avp.exe C:windowssystem32Virus.exe这样即可达到与上述修改注册表相同的效果由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。 在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创

10、建一个子键“Debugger=C:WINDOWS system32drivers”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件，类似文件关联的效果。【说明】oso.exe是一个典型的U盘病毒，典型特征就是在硬盘的每个盘下面生成autorun.inf和oso.exe文件，并在硬盘右键出现AUTO，并在系统盘下生成可执行文件 c:/windows/system32/server.exe，杀毒软件杀毒后导致打开regedit.exe等被映象劫持的软件打开错误。 既然有这好处，我们当然也可以利用这种技术留取各种后门例如shift后门sethc.exe 后门调用5个shiftWindows

11、RegistryEditorVersion5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssethc.exedebugger=c:windowssystem32cmd.exeon也可以在sql中利用这种办法exec master.xp_regwrite HKEY_LOCAL_MACHINE,SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options sethc.exe,debugger, R

12、EG_sz,c:windowssystem32cmd.exe on;-类似的我们还可以留取放大镜后门magnify.exeshift后门 利用黏贴键漏洞；sethc.exe是按5下shift后，windows就执行了system32下的sethc.exe。本来是为不方便按组合 键的人设计的，当你服务器受到攻击时，把sethc.exe 替换成木马程序，就留下后门。你的服务器就等于他的服务器了解决的方法有两种：一种去掉这个黏贴键功能，一种是修改改文件的权限以下内容转载自网络第一种方法是直接删除C:WINDOWSsystem32和C:WINDOWSsystem32dllcache这两个目录的 set

13、hc.exe文件，(注意：dllcache这个目录是隐藏的，要在文件夹选项里选择“显示所有文件和文件夹”把“隐藏受系统保护的操作系统文件”的选择取消才能看得到)。第二种方法是使用权限来约束这两个文件C:WINDOWSsystem32和C:WINDOWSsystem32dllcache这两个目录的 sethc.exe文件，在权限里设置为所有用户(Everyone)禁止运行。删除不如直接禁止运行的好。这样可以防止再次被安装及覆盖.ntsd用法ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获

14、得了debug权限，从而能杀掉大部分的进程。只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。【 ntsd -c q -p pid 】如果能知道进程的pid，比如explorer.exe的pid为196，运行cmd后输入ntsd -c q -p 136即可杀掉这个进程。【 ntsd -c q -pn 进程名 】只要知道了进程的名称，比如explorer.exe，运行cmd后输入ntsd -c q

15、 -pn explorer.exe即可杀掉但是，如果同一个进程（比如iexplorer.exe）开了多个，就会出现错误，所以，ntsd 每次只能结束一个单独出现的进程。下面为ntsd的用法和帮助ntsdusage: ntsd -? -2 -d -g -G -myob -lines -n -o -s -v -w -r BreakErrorLevel -t PrintErrorLevel -hd -pd -pe -pt # -pv -x | -xe|d|n|i - | -p pid | -pn name | command-line | -z CrashDmpFile -zp CrashPageF

16、ile -premote transport -robp -aDllName -c command -i ImagePath -y SymbolsPath -clines # -srcpath SourcePath -QR machine -wake -remote transport:server=name,portid -server transport:portid -ses -sfce -sicv -snul -noio -failinc -noshell【command-line】 在dubugger模式下运行【-】 默认为执行【-G -g -o -p -1 -d -pd】参数【-a

17、DllName】设置默认的扩展dll【-c】执行后面的dubugger命令 【-clines】 number of lines of output history retrieved by a remote client【-failinc】失败时产生不完全的符号和模型【-d】 通过DbgPrint向kernel（核心）发送debugger输出信息 注： -d 不可与debugger remoting同用 -d 只能在kernel（核心）debugger 可以用时才能使用【-g】在debuggee下忽略初始化断点 【-G】忽略程序结束时的最终断点【-hd】规定debug命令集不能用于（dubug

18、gee）创建的程序。该参数只能作用在Windows Whistler（windows xp的测试版本）系统上 【-o】 debug所有由debuggee载入的程序【-p pid】指定要绑定的进程的十进制ID(就是pid)【-pd】 指定debugger自动与绑定的程序分离【-pe】 规定任何绑定都要对应一个存在的debug端口【-pt #】指定中断超时时间 【-pv】 指定任何绑定都是封闭的，不对外共享 【-r】 指定03等级的中断（SeeSetErrorLevel）【-robp】允许在只读内存中设置断点【-t】 指定显示03级的错误(SeeSetErrorLevel) 【-w】 指定在一个单

19、独的VDM（DOS虚拟机）中debug 16位应用程序【-x】 在AV排除项中设置第二个可选断点 -xe|d|n|i 为指定的事件设置中断状态 【-2】 为debuggee创建一个单独核心的窗口Ntsd.exe的用法：ntsd -c q -p PID或者ntsd -c q pn ImageName- c是表示执行debug命令，q表示执行结束后退出(quit),-p 表示后面紧跟着是你要结束的进程对应的PID,-pn 表示后面紧跟着是你要结束的进程名（process_name.exe 比如：QQ.exe,explorer.exe 等等，值得注意的是后缀名.exe是不可省略的，否则系统会告诉你“不支持此接口”）查看pid及进程名,我们可以在任务管理器看,在特殊情况下,也可以使用tasklist命令。比如我们要结束pid为3212的进程maxthon.exe，那么我们可以在命令提示符中输入：ntsd -c