映像劫持什么叫映像劫持

什么叫映像劫持？电脑出现该问题该怎么办？

删除就好了，映像劫持就是在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 中添加项和键值可以劫持！ 使用autonruns软件可以删除掉 autoruns 的下载地址： /soft/17567.html autoruns是非常不错的软件，下载安装该软件后打开软件，有个映像劫持，找到全删掉就好了

映像劫持什么东西 是病毒吗 对电脑有影响吗

打开电脑，在运行框中输入CMD，不是吧，系统居然提示找不到CMD文件，如下图示：点击确定又会弹出另外一个框：原以为是系统变量设置出了问题，直接打开我的电脑，进入C:WINDOWSSYSTEM32目录下，找到CMD.EXE直接运行，也是这样的情况！ 马上进入到C:WINDOWSSYSTEM32DLLCATCH目录下，运行CMD.EXE文件，也是同样的提示：运mand命令，虽然能弹出提示符状态，但是几乎所有的命令都不能用。

用 GHOSTEXP.EXE 把原来备份中的CMD.EXE提取出来把 %SYSTEM% 和 %SYSTEM%DLLCATCH 下的CMD.EXE文件覆盖掉，双击运行之后仍然是这样的提示。

准备退出来的时候突然发现在C:WINDOWS下有一个CDE.EXE.EXE莫非这个就是原来的CMD.EXE文件，只是被修改了名字换了个地方，但是双击之后仍旧不能运行。

注：％system％指的是C:WINDOWSSYSTEM32或者是C:WINNTSYSTEM32目录。

更多的请参考：系统变量（%SystemRoot% ，%windir% ，%temp%，%system%）的表示方法一文。

糟了，中毒了，用咔吧查，什么病毒都没查出来，具体的什么病毒都不知道，看来只能自己找资料手动解决这个问题了。

很有可能就是一些病毒修改了注册表，于是在运行框中输入REGEDIT，居然弹出现面的提示：连注册表业打不开了，会不会是系统的EXE文件关联被修改了，这个需要通过修改注册表来恢复。

但是注册表现在又打不开，用记事本编辑注册表文件，再导入不就可以了么？ 于是打开记事本文档，在里面输入以下内容（目的是允许当前用户运行cmd命令）：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOTexefileshellmand]@=""%1" %*"＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝保存为cmd.reg（文件名可以任意），运行导入，结果弹出下面提示：看来这个也不能用了，会不会是自己编辑注册表文件的时候输错了呢？带着这个疑问，我打开了另外一个注册表文件，也是同样的提示：看来是病毒的原因了。

想通过批处理命令来对注册表操作，随便找了一个批处理命令双击，也不行：头都有点大了，不知道该这么办了，突然想起来EXE文件虽然不可以运行，但是COM文件中应该可以运行吧！于是进入 C:WINDOWS 把 regedit.exe 改名为 双击运行，即可打开注册表编辑器。

这下就可以修复文件关联了，具体的操作请参考：系统exe文件关联被修改，如何恢复exe文件关联一文。

EXE文件关联修复之后，问题依旧，看来问题没有那么简单，不是EXE文件关联，那能是什么原因呢？ 会不会是因为用户权限被修改的原因呢（在注册表中可以设置禁止用户运行批处理文件和CMD），于是打开注册表编辑器，进入HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem新建一个双字节值项DisableCMD（如果没有的话，有的话直接修改其值就可以了，但要注意的是必须是双字节值，不是的话需要删掉重建），将其值设为 0 （这里的作用就是使用户可以运行cmd和批处理文件），当然它也有其它的参数：修改其值为2，则命令解释器和批处理文件都不能够被运行；如果只是禁止命令解释器的运行，而运行批处理文件的运行，则修改DisableCMD的值为1。

这些大家可以自行试试！ 当然也可以通过下面的注册表文件导入方法来实现（前提是等到注册表修复之后）：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝Windows Registry Editor Version 5.00[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]"DisableCMD"=dword:00000000 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 虽然权限也设置过了，但是问题依旧没有解决。

真的有点不知道该怎么办了？呜呜…………虽然还没找到彻底解决的办法，但是可以先给大家提供一个临时解决的办法，将系统中的CMD.EXE，REGEDIT.EXE，MSCONFIG.EXE文件的扩展名都改为COM基本上就可以暂时使用了！只不过要在运行框中输入命令时要带上COM扩展名。

找了这么久，终于找到原因了，原来是中了映像劫持病毒了，对于这种病毒只需要把映像劫持给关了就行了，可以通过修改注册表来实现：把[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]项删除即可。

什么叫映像劫持

映像劫持 windows映像劫持技术（IFEO） 基本症状：可能有朋友遇到过这样的情况，一个正常的程序，无论把他放在哪个位置或者是重新用安装盘修复过的程序，都无法运行或者是比如运行A却成了执行B的程序了，而改名后却可以正常运行。

。

既然我们是介绍IFEO技术相关，那我们就先介绍下： 一，什么是映像胁持（IFEO）？ 所谓的IFEO就是Image File Execution Options 在是位于注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 由于这个项主要是用来调试程序用的，对一般用户意义不大。

默认是只有管理员和local system有权读写修改 先看看常规病毒等怎么修改注册表吧。

。

那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 等等。

。

。

。

。

。

。

。

。

。

。

。

。

。

。

二，具体使用资料： QUOTE: 下面是蓝色寒冰的一段介绍： @echo off //关闭命令回显 echo 此批处理只作技巧介绍，请勿用于非法活动！//显示echo后的文字 pause //停止 echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中 regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除 使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe QUOTE: 可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验: 如上图了，开始-运行-regedit,展开到： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe 选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger" 这一步要做好，然后回车，就可以。

。

。

再双击该键，修改数据数值（其实就是路径）。

。

把它改为 C:windowssystem32CMD.exe （PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。

。

。

） 好了，实验下。

~ . 然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。

。

。

然后运行之。

。

。

嘿嘿。

。

出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。

。

一次简单的恶作剧就成咧。

。

。

同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径 SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！ 三，映像胁持的基本原理： QUOTE: NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。

。

如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。

。

当然，把这些键删除后，程序就可以运行！ 四，映像胁持的具体案例： 引用JM的jzb770325001版主的一个分析案例： QUOTE: 蔚为壮观的IFEO，稍微有些名气的都挂了： HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe 从这个案例，我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！ 试想如果更多病毒，利用于此，将是多么可怕的事情！ 五:如何解决并预防IFEO？ 方法一： 限制法(转自网络搜索) 它要修改Image File Execution Options，所先要有权限，才可读，于是。

。

一条思路就成了。

。

开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多） 然后还是展开到： ) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 方法二: 把[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]项删除即可