好了，實(shí)驗(yàn)下，看看效果。點(diǎn)擊QQ.exe，看出現(xiàn)了什么

 QQ主程序QQ.exe被記事本"劫持"了，記事本直接按照.txt文檔格式打開了QQ.exe程序。

回到注冊表，刪除相應(yīng)鍵，一切又恢復(fù)了正常，熟悉的QQ界面回來了。

同理，病毒等也可以利用這樣的方法，把殺毒軟件、安全工具等名字再進(jìn)行重定向，指向病毒路徑。所以，如果你把病毒清理掉后，重定向項(xiàng)沒有清理的話，由于IFEO的作用，沒被損壞的程序一樣運(yùn)行不了！

映像劫持終極利用–讓病毒迷失自我　　

同上面的道理一樣，如果我們把病毒程序給重定向了，病毒也就變得"找不到北"無法正常運(yùn)行了。

WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe]
Debugger=123.exe

 將上面的代碼保存為后綴.reg的文件，雙擊執(zhí)行(這里以金豬病毒和威金病毒為例)，這樣即使這些病毒在系統(tǒng)啟動(dòng)項(xiàng)里面，即使隨系統(tǒng)運(yùn)行了，但是由于映象劫持的重定向作用，還是會(huì)被系統(tǒng)提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。

現(xiàn)在病毒木馬更多的是在利用各類移動(dòng)設(shè)施(U盤等)、通過網(wǎng)頁掛馬進(jìn)行傳播，通過模擬用戶操作關(guān)閉殺毒軟件。但我們?nèi)匀豢梢酝ㄟ^這個(gè)映像劫持的實(shí)例進(jìn)行深入思考：如何利用病毒自身的技術(shù)來抵御病毒木馬的入侵。

yajing