1、映像劫持的定義 所謂的映像劫持（IFEO）就是Image File Execution Options，位于注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options。

2、由于這個項主要是用來調(diào)試程序用的，對一般用戶意義不大。

3、默認是只有管理員和local system有權讀寫修改。

(相關資料圖)

4、　　通俗一點來說，就是比如我想運行QQ.exe，結果運行的卻是FlashGet.exe，也就是說在這種情況下，QQ程序被FLASHGET給劫持了，即你想運行的程序被另外一個程序代替了。

5、　　映像劫持病毒　　雖然映像劫持是系統(tǒng)自帶的功能，對我們一般用戶來說根本沒什么用的必要，但是就有一些病毒通過映像劫持來做文章，表面上看起來是運行了一個程序，實際上病毒已經(jīng)在后臺運行了。

6、　　大部分的病毒和木馬都是通過加載系統(tǒng)啟動項來運行的，也有一些是注冊成為系統(tǒng)服務來啟動，他們主要通過修改注冊表來實現(xiàn)這個目的，主要有以下幾個方面：　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce　　更多啟動項請參考：系統(tǒng)啟動時所有可能加載啟動程序的方式&&&系統(tǒng)加載方式一文。

7、　　但是與一般的木馬，病毒不同的是，就有一些病毒偏偏不通過這些來加載自己，不隨著系統(tǒng)的啟動運行，而是等到你運行某個特定的程序的時候運行，這也抓住了一些用戶的心理，一般的用戶，只要發(fā)覺自己的機子中了病毒，首先要察看的就是系統(tǒng)的加載項，很少有人會想到映像劫持，這也是這種病毒高明的地方。

8、　　映像劫持病毒主要通過修改注冊表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution options 項來劫持正常的程序，比如有一個病毒 vires.exe 要劫持 qq 程序，它會在上面注冊表的位置新建一個qq.exe項，再這個項下面新建一個字符串的鍵值　debugger 內(nèi)容是：C:WINDOWSSYSTEM32VIRES.EXE(這里是病毒藏身的目錄)即可。

9、當然如果你把該字符串值改為任意的其他值的話，系統(tǒng)就會提示找不到該文件。

10、　　映像脅持的基本原理　　WINDOWS NT系統(tǒng)在試圖執(zhí)行一個從命令行調(diào)用的可執(zhí)行文件運行請求時，先會檢查運行程序是不是可執(zhí)行文件，如果是的話，再檢查格式的，然后就會檢查是否存在。

11、如果不存在的話，它會提示系統(tǒng)找不到文件或者是“指定的路徑不正確等等。

12、把這些鍵刪除后，程序就可以運行！　　映像劫持的應用　　★ 禁止某些程序的運行　　先看一段代碼：　　Windows Registry Editor Version 5.00　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File　　Execution Optionsqq.exe]　　"Debugger"="123.exe"　　把它保存為 norun_qq.reg，雙擊導入注冊表，打開你的QQ看一下效果！　　這段代碼的作用是禁止QQ運行，每次雙擊運行QQ的時候，系統(tǒng)都會彈出一個框提示說找不到QQ，原因就是QQ被重定向了。

13、如果要讓QQ繼續(xù)運行的話，把123.exe改為其安裝目錄就可以了。

14、　　★ 偷梁換柱惡作劇　　每次我們按下CTRL+ALT+DEL鍵時，都會彈出任務管理器，想不想在我們按下這些鍵的時候讓它彈出命令提示符窗口，下面就教你怎么玩：　　Windows Registry Editor Version 5.00　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File　　Execution Optionsaskmgr.exe]　　"Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"　　將上面的代碼另存為 task_cmd.reg，雙擊導入注冊表。

15、按下那三個鍵看是什么效果，不用我說了吧，是不是很驚訝啊！精彩的還在后頭呢？　　★讓病毒迷失自我　　同上面的道理一樣，如果我們把病毒程序給重定向了，是不是病毒就不能運行了，答案是肯定的！下面就自己試著玩吧！　　Windows Registry Editor Version 5.00　 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File　Execution Optionssppoolsv.exe]　　"Debugger"="123.exe"　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File　　Execution Optionslogo_1.exe]　　"Debugger"="123.exe"　　上面的代碼是以金豬報喜病毒和威金病毒為例，這樣即使這些病毒在系統(tǒng)啟動項里面，即使隨系統(tǒng)運行了，但是由于映象劫持的重定向作用，還是會被系統(tǒng)提示無法找到病毒文件（這里是logo_1.exe和sppoolsv.exe）。

16、是不是很過癮啊，想不到病毒也有今天！　　當然你也可以把病毒程序重定向到你要啟動的程序中去，如果你想讓QQ開機自啟動，你可以把上面的123.exe改為你QQ的安裝路徑即可，但是前提是這些病毒必須是隨系統(tǒng)的啟動而啟動的。

17、　　映像劫持的應用也講了不少了，下面就給大家介紹一下如何防止映象劫持吧！　　關于映像劫持的預防，主要通過以下幾個方法來實現(xiàn)：　　★權限限制法　　如果用戶無權訪問該注冊表項了，它也就無法修改這些東西了。

18、打開注冊表編輯器，進入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options ，選中該項，右鍵——>權限——>高級，將administrator 和 system 用戶的權限調(diào)低即可（這里只要把寫入操作給取消就行了）。

19、　　★快刀斬亂麻法　　打開注冊表編輯器，進入把　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options項，直接刪掉 Image File Execution Options 項即可解決問題。

本文就為大家分享到這里，希望小伙伴們會喜歡。