咱们关于映像绑架(IFEO)应该都不生疏，从2007年开端，很多病毒木马就运用映像绑架封闭杀毒软件，传达本身。

所谓的映像绑架IFEO便是Image File Execution Options(其实应该称为 Image Hijack)。它坐落注册表的

IFEO的原意是为一些在默许体系环境中运转时或许引发过错的程序履行体供给特别的环境设定。因为这个项主要是用来调试程序用的，对一般用户含义不大。默许是只需管理员和Local system有权读写修正。

当一个可履行程序坐落IFEO的操控中时，它的内存分配则根据该程序的参数来设定，而WindowsNT架构的体系能经过这个注册表项运用与可履行程序文件名匹配的项目作为程序载入时的操控根据，终究得以设定一个程序的堆管理机制和一些辅佐机制等。出于简化原因，IFEO运用疏忽途径的办法来匹配它所要操控的程序文件名，所以程序不管放在哪个途径，只需姓名没有改变，它就运转出问题。

映像绑架IFEO实例演示

管中窥豹咱们用一个实践比如，来演示一下映像绑架。

点击“开端”-“运转”输入“regedit”指令，翻开注册表修改器，展开到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
 File Execution Options\

然后挑选Image File Execution Options，右键点击新建一个项，把这个项(默许在最终面)命名为QQ.exe。

望文知意，这次是要用QQ来做试验。选中QQ.exe这个项，此刻右边默许是空白的。点击鼠标右键，新建一个“字串符”，然后改名为“Debugger”最终一步，双击该键，修正数据数值(其实便是途径)，管中窥豹是修正为Windows体系“记事本”程序的途径

注：“C:”是体系盘，假如你的体系安装在D盘则改为“D:”(不包括双引号)。管中窥豹运用的操作体系是Windows2000，假如你的体系不是Windows2000或WindowsNT的话，把WINNT改成Windows，相似状况同理处理。

好了，试验下，看看效果。点击QQ.exe，看呈现了什么

QQ主程序QQ.exe被记事本“绑架”了，记事本直接依照.txt文档格局翻开了QQ.exe程序。

回到注册表，删去相应键，全部又康复了正常，了解的QQ界面回来了。

同理，病毒等也能够运用这样的办法，把杀毒软件、安全东西等姓名再进行重定向，指向病毒途径。所以，假如你把病毒整理掉后，重定向项没有整理的话，因为IFEO的效果，没被损坏的程序相同运转不了！

映像绑架终极运用——让病毒迷失自我　　

同上面的道理相同，假如咱们把病毒程序给重定向了，病毒也就变得“找不到北”无法正常运转了。

WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions\sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions\logo_1.exe]
Debugger=123.exe

将上面的代码保存为后缀.reg的文件，双击履行(管中窥豹以金猪病毒和威金病毒为例)，这样即便这些病毒在体系启动项里边，即便随体系运转了，可是因为映象绑架的重定向效果，仍是会被体系提示无法找到病毒文件(管中窥豹是logo_1.exe和sppoolsv.exe)。

现在病毒木马更多的是在运用各类移动设备(U盘等)、经过网页挂马进行传达，经过模仿用户操作封闭杀毒软件。但咱们依然能够经过这个映像绑架的实例进行深化考虑：怎么运用病毒本身的技能来抵挡病毒木马的侵略。

【修改引荐】

1. 巧用“映像绑架IFEO”操控病毒运转！
2. 十分具体的映像绑架剖析
3. 映像绑架的功用