就是Image File Execution Options（其實應該稱為“Image Hijack”。）它是為一些在默認系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設定。由于這個項主要是用來調試程序用的，他其實對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改。

可能我們都遇到過這樣的情況，正常的程序不管放在什么位置，就算是是重新使用修復過的系統(tǒng)，會出現(xiàn)改程序無法運行以及運行此程序指向另外的一個程序這樣的情況。其實幫此程序改名后還是可以正常運行的，這是因為該系統(tǒng)遭遇映像劫持。

1，點擊開始按鈕，點擊運行，打開運行窗口，輸入regedit。

鏡像劫持病毒載圖1

,

鏡像劫持病毒載圖2

2，點擊確定，將打開注冊表窗口。

鏡像劫持載圖3

3，按照下列路徑找到相關注冊表項，操作如圖:

鏡像劫持載圖4

4，將新建的項重命名為notepad.exe。然后回車確定就可以了。

映像脅持載圖5

5，選中左側的notepad.exe項，在右側任意空白處右鍵，新建，字符串值。

鏡像劫持操作載圖6

鏡像劫持病毒載圖7

6，將  新值 #1  改為  Debugger，并回車。這里要注意大小寫。然后雙擊Debugger，彈出對話框，在  數(shù)值數(shù)據(jù)  文本框中輸入  ntsd -d，再點  確定。那么鏡像劫持就做完了。

鏡像劫持操作載圖8

7，

此時，我們隨便打開一個文本文檔看看會出現(xiàn)什么情況。

可以看到，明明  測試.txt  就在眼皮子底下，可是windows就是找不到。不管你打開哪個文本文檔都會是這個效果。

同樣，在設置完鏡像劫持后，任何人都無法運行相應的程序。除非刪掉那個Debugger才行。

鏡像劫持操作載圖9

8其實ntsd -d可以換成任何其他字符。你甚至可以講起設置為另一個程序的路徑。我們以系統(tǒng)自帶的計算器為例。將ntsd -d 改成C:\Windows\System32\calc.exe，再看看效果。

鏡像劫持病毒載圖10