就是Image File Execution Options（其實(shí)應(yīng)該稱為“Image Hijack”。）它是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。由于這個(gè)項(xiàng)主要是用來(lái)調(diào)試程序用的，他其實(shí)對(duì)一般用戶意義不大。默認(rèn)是只有管理員和local system有權(quán)讀寫修改。

映寫劫持，就是部分腳本通過(guò)添加映寫劫持注冊(cè)表，進(jìn)行對(duì)一些文件的可用性強(qiáng)制更改的操作。超的時(shí)候會(huì)導(dǎo)致一些文件不能正常使用，可能您打開(kāi)指定文件的時(shí)候，他全自動(dòng)打開(kāi)了另外的文件。這樣的操作可以應(yīng)用于任何執(zhí)行的文件。由此，一些病毒會(huì)通過(guò)該方式來(lái)禁用殺毒軟件，導(dǎo)致殺毒軟件無(wú)法正常運(yùn)行。

1，點(diǎn)擊開(kāi)始按鈕，點(diǎn)擊運(yùn)行，打開(kāi)運(yùn)行窗口，輸入regedit。

鏡像劫持操作示例1

,

鏡像劫持操作示例2

2，點(diǎn)擊確定，將打開(kāi)注冊(cè)表窗口。

鏡像劫持操作示例3

3，按照下列路徑找到相關(guān)注冊(cè)表項(xiàng)，操作如圖:

鏡像劫持操作示例4

4，將新建的項(xiàng)重命名為notepad.exe。然后回車確定就可以了。

映像脅持示例5

5，選中左側(cè)的notepad.exe項(xiàng)，在右側(cè)任意空白處右鍵，新建，字符串值。

鏡像劫持示例6

鏡像劫持示例7

6，將  新值 #1  改為  Debugger，并回車。這里要注意大小寫。然后雙擊Debugger，彈出對(duì)話框，在  數(shù)值數(shù)據(jù)  文本框中輸入  ntsd -d，再點(diǎn)  確定。那么鏡像劫持就做完了。

鏡像劫持示例8

7，

此時(shí)，我們隨便打開(kāi)一個(gè)文本文檔看看會(huì)出現(xiàn)什么情況。

可以看到，明明  測(cè)試.txt  就在眼皮子底下，可是windows就是找不到。不管你打開(kāi)哪個(gè)文本文檔都會(huì)是這個(gè)效果。

同樣，在設(shè)置完鏡像劫持后，任何人都無(wú)法運(yùn)行相應(yīng)的程序。除非刪掉那個(gè)Debugger才行。

鏡像劫持示例9

8其實(shí)ntsd -d可以換成任何其他字符。你甚至可以講起設(shè)置為另一個(gè)程序的路徑。我們以系統(tǒng)自帶的計(jì)算器為例。將ntsd -d 改成C:\Windows\System32\calc.exe，再看看效果。

鏡像劫持病毒示例10