揭秘：映像劫持是什么意思？怎么映像劫持？怎么防止映像劫持？

揭秘：映像劫持是什么意思？怎么映像劫持？怎么防止映像劫持？？
大概许多朋友都不了解映像劫持是什么意思，只是在杀毒软件中出现该字眼，下面小编就和我们详细讲讲映像劫持的原理，怎么映像劫持和怎么防止映像劫持。



通常利用映像劫持的都是恶意程序、病毒等！它可以让网友在运行一个正常的软件时而转向运行一个别的程序或是病毒软件，而这一切只要改注册表就可以了！是否是非常可怕！

映像劫持是什么意思？

“映像劫持”，也被称为“IFEo”（Image File Execution options），在windowsNT架构的系统里，IFEo的本意是为一些在默认系统环境中运行时大概引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEo的控制中时，它的内存分配则依据该程序的参数来设定，而windowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制根据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEo使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序没有论放在哪个路径，只要名字无变化，它就运行出故障。www.winwin8.com “HKEY_LoCAL_MACHINE\soFTwARE\Microsoft\windowsNT\CurrentVersion\Image File Executionoptions”内，使用与可执行程序文件名匹配的项目作为程序载入时的控制根据，最终得以设定一个程序的堆管理机制和一些辅助机制等，可能微软考虑到加入路径控制会形成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEo使用忽略路径的方式来匹配它所要控制的程序文件名。

怎么映像劫持？
1、开始-运行-regedit,展开到： 
HKEY_LoCAL_MACHINE\soFTwARE\Microsoft\windows NT\CurrentVersion\Image File Execution options\ 

2、然后选上Image File Execution options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe

3、选上123.exe这个项，然后默认右边是空白的，大家点右键，新建个“字串符”，然后改名为“Debugger“

4、这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。。

5、把它改为 C：\windows\system32\CMD.exe

注：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把windows改成winnt，下面如有再提起，类推。

好了，实验下。

6、然后找个扩展名为EXE的，（我这里拿Icesword.exe做实验），改名为123.exe。

7、然后运行。出现了Dos操作框，不知情的看着一闪闪的光标，肯定觉得特诡异。

很简单的说，大家利用映像劫持 让运行123.exe时直接转向运行CMD.exe。

所以通过以上办法可以达到以下目的：

1、运行正常程序而被转向运行木马病毒文件；

2、直接屏蔽一些软件的使用，这些软件包括杀毒软件。

NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检测运行程序是否是可执行文件，如果是的话，再检测格式的，然后就会检测是不存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。

怎么防止映像劫持？

办法一：通过权限限制

  它要修改Image File Execution options，所先要有权限，才可读，于是，一条思路就成了。    点击注册表编辑器，定位到[HKEY_LoCAL_MACHINE\soFTwARE\Microsoft\windowsNT\CurrentVersion\ImageFileExecutionoptions\，选择该项，右键→权限→高级，取消administrator和system网友的写权限便可。   办法二、直接删除   点击注册表编辑器，定位到［HKEY_LoCAL_MACHINE\soFTwARE\Microsoft\windowsNT\CurrentVersion\，把“ImageFileExecutionoptions”项删除便可。

一般来说大家不如何会使用到ImageFileExecutionoptions项，所以删除也可以杜绝映像劫持