我来教你 如何映像劫持杀毒软件（2）

一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。

映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Executionoptions 项来劫持正常的程序，比如有一个病毒bingdu.exe要劫持QQ程序，它会在上面注册表的位置新建一个QQ.exe项，在这个项下面新建一个字符串的键值“debugger”内容是：C:＼WINDOWS＼SYSTEM32＼bingdu.exe即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。

最近我的电脑老是被舍友侵占，每时每刻都在玩网游，所以这几天很少上网，所以到今天才能把剩余的那十几个贴的任务发完。

因为电脑经常被别人玩，如果经常叫他不要玩的话，又不太好意思所以我想到用镜像劫持来劫持了那个网游的程序，具体请看说明 ，注：舍友玩的是神泣首先找到网游的进程名称，运行网游，发现进程是Updater.exe 更新的意思，大概是每运行游戏都要自动下载更新把然后定位到注册表HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution在左边新建一个项updater.exe，然后在右边新建一个debugger的字符串值，其数据内容就是我想指向的程序路径，比如我把它指向到QQ的运行路径(或者随便输入，指定一个空路径也行)。

这样的话，舍友运行游戏的时候就会打开QQ，感觉这样太明显了，想到用一个恶作剧小程序，比如运行之后就会弹出内存不能“read”之类的，网上搜了很久也没找到想用VB编一个，现在还没时间，有空再说了现在我只是指向一个空路径，它运行游戏的时候就什么也没运行。

原理就这样了

下面是我做的注册表导入命令，把下面的命令粘贴到新的TXT文档中，另存为.REG后缀就行了，双击导入就行了

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼updater.exe]

"Debugger"="125.exe"

如果要恢复的话，就导入下面的命令就行

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼updater.exe]

"Debugger"="125.exe"

就多一个减号

其实要反病毒的镜像劫持的话，原理跟上面一样的

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼杀软的进程]

"Debugger"="125.exe"

举一反三就行了！