我来教你 如何映像劫持杀毒软件（1）

其实映像劫持是系统自带的功能，病毒通过修改注册表来实现对杀软的劫持，当你运行杀软的时候，他就会自动把目标指向病毒的路径，

从而来运行病毒，下面说一下镜像劫持的原理吧，下面是从网上收集的资料！！！

系统在试图执行一个从命令行调用的可执行文件运行请求时，会先检查运行程序是不是可执行文件，

如果是的话，才会再检查格式的，最后才会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后，程序就可以正常运行了。

虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个方面：

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run*

HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run*

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Windows＼AppInit_DLLs

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon＼Notify

但是与一般的木马、病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到用户运行某个特定的程序的时候运行，这也抓住了一些用户的心理。