- 23 Mar 2023
- 111
- 64
Öncelikle şuna açıklık getireyim image bizim bildiğimiz image değildir burada image derken bir EXE, bir yürütülebilir dosyadan bahsediyoruz.
peki image file execution opt nedir? bu saldırı çeşiti belirli bir programın çalıştırıldığı anda bizim exemiz veya payload kodumuzu çalıştırmamızdır.
bu konuda sadece debuger ile istismarı göstereceğim diğer modlar hakkında kendiniz araştırma yapabilirsiniz.
öncelikle regedit kayıtına bazı eklemeler yapmamız lazım.
Kod:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /d "(shell kod veya exemiz)"
peki image file execution opt nedir? bu saldırı çeşiti belirli bir programın çalıştırıldığı anda bizim exemiz veya payload kodumuzu çalıştırmamızdır.
bu konuda sadece debuger ile istismarı göstereceğim diğer modlar hakkında kendiniz araştırma yapabilirsiniz.
öncelikle regedit kayıtına bazı eklemeler yapmamız lazım.
Kod:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /d "(shell kod veya exemiz)"
yukarıdaki regedit eklemesinde notepad.exe'nin debugerını ayarladık artık kullanıcı notepad açtığında bizim belirttiğimiz debuger açılacaktır
bunu çok farklı amaçlar için kullanabilirsiniz misal RATınızı buna göre modafiye edebilirsiniz fakat şunu belirteyim debuger modda olduğu için notepad açıldığında notepad cevap vermez.
bunun algoritmasınıda yazmak size kalsın