修改系統映像劫持（映像劫持）

大家好，我是小華，我來為大家解答以上問題。修改系統映像劫持，映像劫持很多人還不知道，現在讓我們一起來看看吧！

1、windows映像劫持技術（IFEO） 基本癥狀：可能有朋友遇到過這樣的情況。

2、一個正常的程序，無論把它放在哪個位置，或者是一個程序重新用安裝盤修復過，都出現無法運行或者是比如運行A卻成了執行B，而改名后卻可以正常運行的現象。

3、 既然我們是介紹IFEO技術相關，那我們就先介紹下： 一，什么是映像脅持（IFEO）？ 所謂的IFEO就是Image File Execution Options 它是位于注冊表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 由于這個項主要是用來調試程序用的，對一般用戶意義不大。

4、默認是只有管理員和local system有權讀寫修改 先看看常規病毒等怎么修改注冊表吧。

5、 那些病毒、蠕蟲和，木馬等仍然使用眾所皆知并且過度使用的注冊表鍵值，如下： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 等等。

6、 二，具體使用資料： QUOTE: 下面是藍色寒冰的一段介紹： @echo off //關閉命令回顯 echo 此批處理只作技巧介紹，請勿用于非法活動！//顯示echo后的文字 pause //停止 echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字導出到SSM.reg中 regedit /s ssm.reg &del /q ssm.reg //導入ssm.reg并刪除 使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe項下的"Debugger"="abc.exe" 意思是不執行svchost.exe而執行abc.exe QUOTE: 可能說了上面那么多，大家還弄不懂是什么意思，沒關系，我們大家一起來看網絡上另一個朋友做得試驗: 如上圖了，開始-運行-regedit,展開到： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后選上Image File Execution Options，新建個項，然后，把這個項（默認在最后面）然后改成123.exe 選上123.exe這個項，然后默認右邊是空白的，我們點右鍵，新建個“字串符”，然后改名為“Debugger" 這一步要做好，然后回車，就可以。

7、再雙擊該鍵，修改數據數值（其實就是路徑）。

8、 把它改為 C:windowssystem32CMD.exe （PS：C：是系統盤，如果你系統安裝在D則改為D：如果是NT或2K的系統的話，把Windows改成Winnt,下面如有再T起，類推。

9、） 好了，實驗下。

10、~ . 然后找個擴展名為EXE的，（我這里拿IcesWord.exe做實驗），改名為123.exe。

11、 然后運行之。

12、嘿嘿。

13、出現了DOS操作框，不知情的看著一閃閃的光標，肯定覺得特鬼異~^_^。

14、 一次簡單的惡作劇就成咧。

15、 同理，病毒等也可以利用這樣的方法，把殺軟、安全工具等名字再進行重定向，指向病毒路徑 SO..如果你把病毒清理掉后，重定向項沒有清理的話，由于IFEO的作用，沒被損壞的程序一樣運行不了！ 讓病毒迷失自我 同上面的道理一樣，如果我們把病毒程序給重定向了，是不是病毒就不能運行了，答案是肯定的。

16、 WindowsRegistryEditorVersion5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe] Debugger=123.exe 上面的代碼是以金豬病毒和威金病毒為例，這樣即使這些病毒在系統啟動項里面，即使隨系統運行了，但是由于映象劫持的 重定向作用，還是會被系統提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。

17、 三，映像脅持的基本原理： QUOTE: NT系統在試圖執行一個從命令行調用的可執行文件運行請求時，先會檢查運行程序是不是可執行文件，如果是的話，再檢查格式的，然后就會檢查是否存在。

18、如果不存在的話，它會提示系統找不到文件或者是“指定的路徑不正確等等。

19、 當然，把這些鍵刪除后，程序就可以運行！ 四，映像脅持的具體案例： 引用JM的jzb770325001版主的一個分析案例： QUOTE: 蔚為壯觀的IFEO，稍微有些名氣的都掛了： HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe 從這個案例，我們可以看到這個技術的強大之處！很多的殺軟進程和一些輔助殺軟或工具，全部被脅持，導致你遇到的所有殺軟都無法運行！ 試想如果更多病毒，利用于此，將是多么可怕的事情！ 五:如何解決并預防IFEO？ 方法一： 限制法(轉自網絡搜索) 它要修改Image File Execution Options，所先要有權限，才可讀，于是。

20、一條思路就成了。

21、 打開注冊表編輯器，定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions，選中該項，右鍵→權限→高級，取消administrator和system用戶的寫權限即可。

22、 2、快刀斬亂麻法 打開注冊表編輯器，定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion，把“ImageFileExecutionOptions”項刪除即可。

本文到此講解完畢了，希望對大家有幫助。