C#實現映像劫持

“映像劫持”，也被稱為“IFEO”（Image File Execution Options），在WindowsNT架構的系統里，IFEO的本意是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定。當一個可執行程序位於IFEO的控制中時，它的 內存分配則根據該程序的參數來設定，而WindowsN T架構的系統能通過這個注冊表項使用與可執行程序文件名匹配的項目作為程序載入時的控制依據，最終得以設定一個程序的堆管理機制和一些輔助機制等。出於簡化原因，IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名，所以程序無論放在哪個路徑，只要名字沒有變化，它就運行出問題。

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”內，使用與可執行 程序文件名匹配的項目作為程序載入時的控制依據，最終得以設定一個程序的堆管理機制和一些輔助機制等，大概微軟考慮到加入路徑控制會造成判斷麻煩與操作不靈活的后果，也容易導致注冊表冗余，於是IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名。

實例操作

編輯

例如有一個程序文件名為“xiaojin.exe”，由於使用了舊的堆管理機制，它在新系統里無法正常運行甚至出現非法操作，為了讓系統為其提供舊的堆管理機制，需要IFEO來介入，則需執行以下步驟：

1. 確保在管理員狀態下執行regedit.exe，定位到以下注冊表項：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions

2. 在“Image File Execution Options”下建立一個子鍵，名為“xiaojin.exe”，不區分大小寫。現在確保位於HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions\xiaojin.exe\下，建立一個字符串類型的注冊表項，名為“DisableHeapLookAside”，值為“1”

3. 再次運行xiaojin.exe查看運行情況，如果真的是由於堆管理機制引發的問題，則程序得以正常運行，否則該程序問題不屬於IFEO能夠干涉的范圍，或者需要嘗試搭配其他的參數使用。

基本原理

編輯

QUOTE

NT系統在試圖執行一個從命令行調用的 可執行文件運行請求時，先會檢查運行程序是不是可執行文件，如果是的話，再檢查格式的，然后就會檢查是否存在。。如果不存在的話，它會提示系統找不到文件或者是“指定的路徑不正確等等。

當然，把這些鍵刪除后，程序就可以運行！

從實際現象來說

把IFEO直接稱為“映像劫持”未免有點冤枉它了，因為里面大部分參數並不會導致今天這種局面的發生，惹禍的參數只有一個，那就是“Debugger”，將IFEO視為映像劫持，大概是因為國內一些人直接套用了“Image File Execution Options”的縮寫吧，在相對規范的來自Sysinternals的專業術語里，利用這個技術的設計漏洞進行非法活動的行為應該被稱為“Image Hijack”，這才是真正字面上的“映像劫持”！

Debugger參數

直接翻譯為“ 調試器”，它是IFEO里第一個被處理的參數，其作用是屬於比較匪夷所思的，系統如果發現某個 程序文件在IFEO列表中，它就會首先來讀取Debugger參數，如果該參數不為空，系統則會把Debugger參數里指定的程序文件名作為用戶試圖啟動的程序執行請求來處理，而僅僅把用戶試圖啟動的程序作為Debugger參數里指定的程序文件名的參數發送過去！光是這個概念大概就足夠一部分人無法理解了，所以我們放簡單點說，例如有兩個客人在一起吃自助餐，其中一個客人（用戶）委托另一個客人（系統）去拿食物時順便幫自己帶點食物回來（啟動程序的請求），可是系統在幫用戶裝了一盤子食物並打算回來時卻發現另一桌上有個客人（Debugger參數指定的程序文件）居然是自己小學里的暗戀對象！於是系統直接端着原本要拿給用戶的食物放到那桌客人那里共同回憶往事去了（將啟動程序請求的執行文件映像名和最初參數組合轉換成新的 命令行參數……），最終吃到食物的自然就是Debugger客人（獲得命令行參數），至此系統就忙着執行Debugger客人的啟動程序請求而把發出最初始啟動程序請求的用戶和那盤食物（都送給Debugger客人做命令行參數了）給遺忘了。

在系統執行的邏輯里

這就意味着，當一個設置了IFEO項Debugger參數指定為“ notepad.exe”的“iexplore.exe”被用戶以 命令行參數“-nohome bbset”請求執行時，系統實際上到了IFEO那里就跑去執行notepad.exe了，而原來收到的執行請求的文件名和參數則被轉化為整個命令行參數“C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome ”來提交給notepad.exe執行，所以最終執行的是“notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.即用戶原來要執行的程序文件名iexplore.exe被替換為notepad.exe，而原來的整串命令行加上iexplore.exe自身，都被作為新的命令行參數發送到notepad.exe去執行了，所以用戶最終看到的是記事本的界面，並可能出現兩種情況，一是記事本把整個iexplore.exe都作為文本讀了出來，二是記事本彈出錯誤信息報告“文件名不正確”，這取決於iexplore.exe原來是作為光桿司令狀態請求執行（無附帶運行命令行參數）的還是帶命令行參數執行的。

Debugger參數存在的本意

是為了讓程序員能夠通過雙擊 程序文件直接進入 調試器里調試自己的程序，曾經調試過程序的朋友也許會有一個疑問，既然程序啟動時都要經過IFEO這一步，那么在調試器里點擊啟動剛被Debugger參數送進來的程序時豈不是又會因為這個法則的存在而導致再次產生一個調試器進程？微軟並不是傻子，他們理所當然的考慮到了這一點，因此一個程序啟動時是否會調用到IFEO規則取決於它是否“從命令行調用”的，那么“從命令行調用”該怎么理解呢？例如我們在 命令提示符里執行 taskmgr.exe，這就是一個典型的“從命令行調用”的執行請求，而我們在點擊桌面上、普通應用程序菜單里的taskmgr.exe時，系統都會將其視為由 外殼程序Explorer.exe傳遞過來的執行請求，這樣一來，它也屬於“從命令行調用”的范圍而觸發IFEO規則了。為了與用戶操作區分開來，系統自身加載的程序、調試器里啟動的程序，它們就不屬於“從命令行調用”的范圍，從而繞開了IFEO，避免了這個加載過程無休止的循環下去。

由於Debugger參數的這種特殊作用，它又被稱為“重定向”（Redirection），而利用它進行的攻擊，又被稱為“重定向劫持”（Redirection Hijack），它和“映像劫持”（Image Hijack，或IFEO Hijack）只是稱呼不同，實際上都是一樣的技術手段。

實質問題

講解完Debugger參數的作用，我們來看看“映像劫持”到底是怎么一回事，遭遇流行“映像劫持”病毒的系統表現為常見的殺毒軟件、 防火牆、安全檢測工具等均提示“找不到文件”或執行了沒有反應，於是大部分用戶只能去重裝系統了，但是有經驗或者歪打正着的用戶將這個程序改了個名字，就發現它又能正常運行了，這是為什么？答案就是IFEO被人為設置了針對這些流行工具的 可執行文件名的列表了，而且Debugger參數指向不存在的文件甚至病毒本身！

舉例

以 超級巡警的主要執行文件AST.exe為例，首先，有個文件名為kkk.exe的惡意程序向IFEO列表里寫入AST.exe項，並設置其Debugger指向kkk.exe，於是系統就會認為kkk.exe是AST.exe的調試器，這樣每次用戶點擊執行AST.exe時，系統執行的實際上是作為調試器身份的kkk.exe，至於本該被執行的AST.exe，此刻只能被當作kkk.exe的執行參數來傳遞而已，而由於kkk.exe不是調試器性質的程序，甚至惡意程序作者都沒有編寫執行參數的處理代碼，所以被啟動的永遠只有kkk.exe自己一個，用戶每次點擊那些“打不開”的安全工具，實際上就等於又執行了一次惡意程序本體！這個招數被廣大使用“映像劫持”技術的 惡意軟件所青睞，隨着OSO這款超級U盤病毒與 AV終結者（隨機數病毒、8位字母病毒）這兩個滅殺了大部分流行安全工具和殺毒軟件的惡意程序肆虐網絡以后，一時之間全國上下人心惶惶，其實它們最大改進的技術核心就是利用IFEO把自己設置為各種流行安全工具的調試器罷了，破解之道尤其簡單，只需要將安全工具的執行文件隨便改個名字，而這個安全工具又不在乎 互斥量的存在，那么它就能正常運行了，除非你運氣太好又改到另一個也處於黑名單內的文件名去了，例如把AST.exe改為 IceSword.exe。

 

以上文字來自於百度百科

下面就來看一下C#代碼的簡單實現：

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using Microsoft.Win32;
namespace 設置映象劫持
{
    public partial class Form1 : Form
    {
        public Form1()
        {
   InitializeComponent();
        }
  [STAThread]
  static void Main()
  {

   Application.EnableVisualStyles();
   Application.SetCompatibleTextRenderingDefault(false);
   Application.Run(new Form1());
  }
        private void Form1_Load(object sender, EventArgs e)
        {
            timer1.Enabled = true;//開始定時器

       }

        private void dra()//定時器周期時間，主要用來繪制時間，和本文關系不大
        {
            Graphics gr = this.CreateGraphics();
            Brush br1 = new SolidBrush(Color.Green);
            Brush br = new SolidBrush(Color.Red);
            gr.FillRectangle(br1, 20, 20, 120, 40);
            gr.DrawString("映像劫持",new Font ("宋體",12),br,21,21 );
            gr.FillRectangle(br1, 150,20, 120, 40);
            gr.DrawString(DateTime.Now.ToLongTimeString(), new Font("楷書", 12), br, 151, 20);
        }

        private void timer1_Tick(object sender, EventArgs e)
        {
          
            dra();
           
        }

        private void button1_Click(object sender, EventArgs e)//設置映像劫持，本文的核心
        {
            int s=0;
            for (int i = 0; i < comboBox1.Items.Count; i++)
            {
                string []name=new string [comboBox1.Items.Count ];
                name[i]= comboBox1.Items[i].ToString();
                if (name[i] == comboBox1.Text)
                {
                    s++;
                }
            }
            if(s==0)
            {
                comboBox1.Items.Add (comboBox1.Text );

            }
            else
            {

            }
                try
                {
                    RegistryKey reg;
                    reg = Registry.LocalMachine;

                    reg = reg.CreateSubKey(@"Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" + comboBox1.Text);
                    reg.SetValue("Debugger", comboBox2.Text);
                    reg.Close();
                    MessageBox.Show("映像劫持成功！", "提示", MessageBoxButtons.OK, MessageBoxIcon.Information);
                    Refresh();

                }
                catch (Exception ex)
                {
                    MessageBox.Show(ex.Message);
                }
            }
          
       

        private void button2_Click(object sender, EventArgs e)//解除映像劫持，本文的核心
        {
            try
            {
                RegistryKey reg;
                reg = Registry.LocalMachine;

                reg.DeleteSubKeyTree(@"Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" + comboBox1.Text,true);
               
                reg.Close();
                MessageBox.Show("解救映像成功！", "提示", MessageBoxButtons.OK, MessageBoxIcon.Information);
                Refresh();

            }
            catch (Exception ex)
            {
                MessageBox.Show(ex.Message);
            }
        }

        private void checkBox1_CheckedChanged(object sender, EventArgs e)
        {
            if (checkBox1.Checked)
            {
                label1.Text = "解救映像名：";
            }
        }

    }
}