我试图了解图像文件执行选项可以做什么以及它通常用于什么。我知道它用于调试目的,但我怎么知道它用于恶意目的?此注册表项是否与每个可执行文件一起使如果没有,是否可疑?
例如,\ Image File Execution Options \ DevOverrideEnable是做什么的?
PS:我已经看过这些来源了:
https://gooroo.io/GoorooTHINK/Article/17352/Image-File-Execution-Options-Good-Evil-Fun/28441
https://blog.malwarebytes.com/101/2015/12/an-introduction-to-image-file-execution-options/
答案 0 :(得分:0)
通常,调试器可以运行一个进程或附加到现有进程来调试它,它对于正常项目来说已经足够了,但是在某些项目中,例如服务调试器因为Windows服务体系结构而无法启动服务。在这种情况下,我们应该将调试器附加到正在运行的服务进程,但是如果我们想在服务启动时调试一些代码,我们就不能通过这种方法来执行它,因为调试器在启动代码执行后附加到进程。
在这样的场景中,我们可以使用图像文件执行选项(IFEO),通过配置在进程启动时启动调试器,当指定的进程在指定的调试器内启动Windows启动进程并让开发人员从出生开始调试进程!
此选项的问题是Microsoft Windows不会(并且不能;)检查指定的调试器是否真的是一个调试版。
另一方面,恶意软件作者使用此选项作为在某些进程运行时启动恶意进程的技巧,例如,他们每次都可以运行注入器" explorer.exe"进程运行并向其注入一些恶意代码。
最后IFEO不是自己的恶意选择,但也许!并且没有简单的方法来了解它的恶意与否。如果你想确定它是否是恶意的,那么调试器应该进行分析并手动检查恶意活动。
如果您不是计算机技术人员,最简单的方法是找到IFEO注册表项并找到调试器的主题路径,并将调试器文件上传到在线扫描仪网站,如VirusTotal,希望他们说实话:) )