通常我們的自啓動大多是通過註冊表啓動項,文件夾啓動項,服務啓動等,然而還有一種人們所不常見的自啓動方法,他不同於文件關聯啓動,他卻能劫持某一特定程序,以下解釋來自百度百科:
“映像劫持”,也被稱爲“IFEO”(Image File Execution Options,其實應該稱爲“Image Hijack”,至少也應該稱爲IFEO Hijack而不是隻有“IFEO”自身!),它的存在自然有它的理由,在WindowsNT架構的系統裏,IFEO的本意是爲一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定,系統廠商之所以會這麼做,是有一定歷史原因的,在Windows NT時代,系統使用一種早期的堆棧Heap,由應用程序管理的內存區域)管理機制,使得一些程序的運行機制與現在的不同,而後隨着系統更新換代,廠商修改了系統的堆棧管理機制,通過引入動態內存分配方案,讓程序對內存的佔用更爲減少,在安全上也保護程序不容易被溢出,但是這些改動卻導致了一些程序從此再也無法運作,爲了兼顧這些出問題的程序,微軟以“從長計議”的態度專門設計了“IFEO”技術,它的原意根本不是“劫持”,而是“映像文件執行參數”!
映像劫持技術是通過修改註冊表實現的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
利用方法如下,我通過一個REG文件實現,如果使用編程也是非常簡單的,REG文件內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe]
"Debugger"="muma.exe"
這段代碼表示要劫持的程序爲qq.exe,只要運行文件名爲qq.exe的,不管在哪個文件夾下都會啓動SYSTEM32目錄下的muma.exe(當然你可以直接把qq.exe改成你要啓動程序的路徑 )。
因此,如果您的計算機不慎中毒,除了檢查註冊表啓動項、文件夾啓動項、服務外,還要小心檢測註冊表裏容易被映像劫持的Image File Execution Options項。