什么是映像劫持?
映像劫持(Image File Execution Options),简单的说法,就是当你打开的是程序A,而运行的确是程序B。
利用GFlages.exe来使映像劫持更好玩。
下载地址:1
http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi
用法如图
作用是关闭notepad.exe 以后自动打开calc.exe
一键添加注册表脚本:
保存为test.reg1
2
3
4
5
6
7
8
9
10Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"GlobalFlag"=dword:00000200
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe]
"MonitorProcess"="C:\\WINDOWS\\system32\\calc.exe"
"ReportingMode"=dword:00000001
还可以进行多跳操作,来隐藏真正的程序。