修改系统映像劫持（映像劫持）

大家好，我是小华，我来为大家解答以上问题。修改系统映像劫持，映像劫持很多人还不知道，现在让我们一起来看看吧！

1、windows映像劫持技术（IFEO） 基本症状：可能有朋友遇到过这样的情况。

2、一个正常的程序，无论把它放在哪个位置，或者是一个程序重新用安装盘修复过，都出现无法运行或者是比如运行A却成了执行B，而改名后却可以正常运行的现象。

3、 既然我们是介绍IFEO技术相关，那我们就先介绍下： 一，什么是映像胁持（IFEO）？ 所谓的IFEO就是Image File Execution Options 它是位于注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 由于这个项主要是用来调试程序用的，对一般用户意义不大。

4、默认是只有管理员和local system有权读写修改 先看看常规病毒等怎么修改注册表吧。

5、 那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 等等。

6、 二，具体使用资料： QUOTE: 下面是蓝色寒冰的一段介绍： @echo off //关闭命令回显 echo 此批处理只作技巧介绍，请勿用于非法活动！//显示echo后的文字 pause //停止 echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中 regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除 使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe QUOTE: 可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验: 如上图了，开始-运行-regedit,展开到： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe 选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger" 这一步要做好，然后回车，就可以。

7、再双击该键，修改数据数值（其实就是路径）。

8、 把它改为 C:windowssystem32CMD.exe （PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。

9、） 好了，实验下。

10、~ . 然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。

11、 然后运行之。

12、嘿嘿。

13、出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。

14、 一次简单的恶作剧就成咧。

15、 同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径 SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！ 让病毒迷失自我 同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。

16、 WindowsRegistryEditorVersion5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe] Debugger=123.exe 上面的代码是以金猪病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的 重定向作用，还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。

17、 三，映像胁持的基本原理： QUOTE: NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。

18、如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。

19、 当然，把这些键删除后，程序就可以运行！ 四，映像胁持的具体案例： 引用JM的jzb770325001版主的一个分析案例： QUOTE: 蔚为壮观的IFEO，稍微有些名气的都挂了： HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe 从这个案例，我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！ 试想如果更多病毒，利用于此，将是多么可怕的事情！ 五:如何解决并预防IFEO？ 方法一： 限制法(转自网络搜索) 它要修改Image File Execution Options，所先要有权限，才可读，于是。

20、一条思路就成了。

21、 打开注册表编辑器，定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。

22、 2、快刀斩乱麻法 打开注册表编辑器，定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion，把“ImageFileExecutionOptions”项删除即可。

本文到此讲解完毕了，希望对大家有帮助。