图像文件执行选项注入

对手可能会通过执行由图像文件执行选项 (IFEO) 调试器触发的恶意内容来建立持久性和/或提升权限。IFEO 使开发人员能够将调试器附加到应用程序。当创建进程时，应用程序的 IFEO 中存在的调试器将被预先添加到应用程序的名称中，有效地在调试器下启动新进程（例如 C:\dbg\ntsd.exe -g notepad.exe）。(引用: Microsoft Dev Blog IFEO Mar 2010) IFEO 可以直接通过注册表或通过 GFlags 工具在全局标志中设置。(引用: Microsoft GFlags Mar 2017) IFEO 在注册表中表示为 HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 下的 Debugger 值，其中 <executable> 是附加调试器的二进制文件。(引用: Microsoft Dev Blog IFEO Mar 2010) IFEO 还可以启用在指定程序静默退出（即由其自身或第二个非内核模式进程过早终止）时启动任意监视程序。(引用: Microsoft Silent Process Exit NOV 2017)(引用: Oddvar Moe IFEO APR 2018) 类似于调试器，可以通过 GFlags 和/或直接修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\ 中的 IFEO 和静默进程退出注册表值来启用静默退出监视。(引用: Microsoft Silent Process Exit NOV 2017)(引用: Oddvar Moe IFEO APR 2018) 类似于辅助功能，在 Windows Vista 及更高版本以及 Windows Server 2008 及更高版本上，可以修改注册表项，将“cmd.exe”或提供后门访问的其他程序配置为辅助程序（例如 utilman.exe）的“调试器”。修改注册表后，在键盘上或通过远程桌面协议连接时按下登录屏幕上的适当键组合将导致以 SYSTEM 权限执行“调试器”程序。(引用: Tilbury 2014) 类似于进程注入，这些值也可能被滥用，通过导致在计算机上的单独进程上下文中加载和运行恶意可执行文件来获得权限提升。(引用: Elastic Process Injection July 2017) 安装 IFEO 机制还可以通过持续触发调用提供持久性。 恶意软件还可能使用 IFEO 通过注册无效调试器来削弱防御，这些调试器会重定向并有效地禁用各种系统和安全应用程序。(引用: FSecure Hupigon)(引用: Symantec Ushedix June 2008)