一，什么是映像劫持（IFEO）？

所谓的IFEO就是Image File Execution Options

在是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改

映像胁持的基本原理

NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。 

当然，把这些键删除后，程序就可以运行！

通俗一点来说，就是比如我想运行360安全卫士，结果运行的却是病毒程序，也就是说在这种情况下，360
安全卫士被病毒程序给劫持了，就是你想运行的程序却被另一个程序代替了，那么这就是一个劫持的过程

四. 映像劫持的应用：

(1)禁止某些程序的运行

注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]

"Debugger"="123.exe"

以上代码的作用是禁止QQ运行，每次双击运行QQ的时候，系统都会弹出一个框提示说找不到QQ，原因就是QQ被重定向了。如果要让QQ继续运行的话，把123.exe改为其安装目录或清空就可以了。

同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径

SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！

反病毒利用：

如果我们把病毒程序给重定向了，病毒将也无法正常的运行了。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]

"Debugger"="123.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]

"Debugger"="123.exe"
　　
上面的代码是以金猪报喜病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的重定向作

五. 防止被非法程序映象劫持

(1)

如果用户无权访问该注册表项了，那它也就无法修改这些东西了。打开注册表编辑器，进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows NT\CurrentVersion\Image File Execution Options，选中该项，右键——>权限——>高级，将administrator 和 system 用户

的权限调低即可。

(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项，直接删掉“Image File Execution Options“项即可解决问题。