-
-
[原创][C#][有码]映像劫持简析与工具类源码
-
发表于:
2021-2-24 05:25
7566
-
上次发的只有源码没有解析,想了想这样不好,还是写两句,请各位批评指正。
“映像劫持”(IFEO Debugger)是注册表中IFEO(Image File Execution Options)的一个功能,用一句话描述如下:
[ 当一个被映像劫持的程序将被启动时,Windows不会启动这个程序,而是启动它的劫持者程序。 ]
也就是把启动程序的任务交给劫持者。至于要不要启动、怎么启动、启动前后的准备和收尾工作都交给劫持者完成,Windows启动劫持者之后就撒手不管了。而被劫持的程序的名称和命令行参数会一起作为劫持者的命令行参数,这样一个劫持调试器就能劫持多个程序,也能对命令行做一些处理。
映像劫持的优点是当一个程序需要被调试、或作一些启动前后的准备/收尾工作才能正常运行时,用户不必关心调试器(对用户来说是透明的),而只需要照常启动原来的程序即可,非常方便。但是这项技术很容易被滥用,比如我劫持一大堆程序,不知情的用户正常使用时我就可以悄悄的启动去干坏事。当然也可以劫持系统组件、或者根本不启动被调试的程序,坏得很哦。
映像劫持是IFEO众多功能中最先被运行的一个,也是最风评被害的一个。IFEO是用于做一些启动前的准备工作的,这样可以让远古程序也能兼容新版系统。以下是我编写的一个C#映像劫持工具类,无论是ghs(干坏事)还是防止别人干坏事都可以用。其原理不过是封装了简单的注册表增删改查而已。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2021-3-13 02:05
被星雪鸢尾编辑
,原因: 增加解析,补充结构定义,超链接到相关帖子
