庆哥手把手教你黑客技术!!!
作者 | 庆哥
来源 | 庆哥Java(ID:ithuangqing)
怎么回事?你看我操作:
发现没,我打开一个txt文本文件,但是是使用Notepad3打开的,而不是我们电脑上默认的记事本?
为什么?🆗,今天这篇文章就来解决上次文章一个读者的问题:
这个主要就是一个映像劫持技术,看起来好像很高大上,实则很简单,不过虽然简单,我却发现了一些不一样的地方!
那什么是映像劫持技术呢?我们从字面意思上去理解,所谓的映像,简单的就可以理解成一个事物映射到另一个事务,比如a映射到b,比如我们打开我们桌面上的这个:
那打开的就是印象笔记这个软件,也就是我们桌面的这个“印象笔记”快捷方式是映射到印象笔记这个软件的:
就是有这么一个映射关系:
那映像劫持呢?说的简单点,就是以上这个映射过程中出现差错,导致最后的结果,你点击桌面的“印象笔记”结果打开的是qq,这就是映像劫持了。
(ps:上述的替换其实还是有的玩的,这是个伏笔,哈哈)
怎么样,还是比较好理解的吧!这看起来是不是很酷?那么实现这个有难度嘛?告诉你吧,一点都不难,在我们的Windows中只需要在注册表中添加一条相关的语句就行啦,不需要其他什么复杂的操作,而你想要恢复原有映射,直接将这条语句删除即可!
是不是很想知道怎么操作啊,别着急,咱们马上搞起来!
我们就来试下将我们电脑自带的记事本映射成之前推荐的Notepad3,来吧!
还不知道Notepad3看看这篇文章:再见了,记事本
首先,打开我们注册表,如何操作呢?首秀按按下我们的win+r打开运行窗口,然后输入“regedit”
回车即可打开我们的注册表:
接着找到这个注册表项:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
接着我们在这个Image File Execution Options上右键新建项
也就是这样:
然后在上面右键新建 字符串值
修改名称为Debugger,也就是这样:
接着双击打开:
一定要注意后面的“/z”,然后确定!
这样就ok啦,我们可以去点击桌面的记事本试一下:
可以看到我们打开记事本实际上打开的是Notepad3,这个时候我们新建一个test.txt:
我们右键选择属性:
现实其默认打开程序是记事本,我们双击test.txt试下:
ok,大功告成啦!是不是很简单啊!
关于注册表的小技巧
我们在上述的操作中需要去修改注册表项,也就是需要找到这个位置
“计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”
别告诉我你是一步步点击查找的哦,那样可就太慢了,这个庆哥告诉你一个技巧,首先啊,需要先去下载一个小工具,叫做RegJump,这玩意是微软发布的一个小工具,大家可以去官网下载:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/regjump
下载完成之后解压,然后将RegJump.exe直接放到电脑中的c盘下的windows中即可!
接下来我们就可以快速定位我们需要修改的注册表项了,比如这里我们需要找到
“计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”这个时候我们将这个路径复制以下,注意正确的复制路是“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS”可没有“计算机\”
然后以管理员方式代开打开命令行窗口,输入以下值指令:
即可快速定位到我们要找的位置!
接着我们再说会我们对记事本的替换,这里有个关键,就是/z 的参数 ,这是一个很关键的参数,
也正是因为有了这个我们才能实现本机记事本通过映像劫持替换Notepad3,但是如果我们想替换成其他的程序,就会存在问题,
因为你按照上面方式是不行的,因为这个/z的参数是专门为Notepad2或者3准备的,那换成其它的程序就不灵了!
不过,庆哥发现也许利用AutoHotkey可以实现,那这个是啥呢?
不知道大家感兴趣嘛?如果感兴趣我们下期接着聊!
看完记得点赞哦!
LOVE
点个在看你最好看