IFEO(Image File Execution Options) 映像劫持
7 views
Skip to first unread message
奇袭<SurpriseAttack>
Dec 1, 2008, 12:56:36 AM12/1/08
to 火炬组织
映像是指内存映像 劫持是MS原本用来调试PE文件的,但是现在广泛的被使用禁止可执行程序的运行。
简单说所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
Rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。
最近最让IT管理员头痛的是什么呢?--毫无疑问是rootkit。这种可恶的程序是一批工具集,黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限,就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码,这样黑客就具有高级访问权限了。
rootkit还有监控网络数据和按键的功能;为黑客在系统上开"后门";修改日志文件;攻击网络上的其他计算机;修改系统上已有的工具防止被检测出来。
--
奇袭<SurpriseAttack>Gryphonheart
Free Software Open Source
简单说所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
Rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。
最近最让IT管理员头痛的是什么呢?--毫无疑问是rootkit。这种可恶的程序是一批工具集,黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限,就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码,这样黑客就具有高级访问权限了。
rootkit还有监控网络数据和按键的功能;为黑客在系统上开"后门";修改日志文件;攻击网络上的其他计算机;修改系统上已有的工具防止被检测出来。
--
奇袭<SurpriseAttack>Gryphonheart
Free Software Open Source
Reply all
Reply to author
Forward
0 new messages