| 引用: |
【琼台听雨的贴子】猫叔能不能介绍下映像劫持的原理和定义,简单一点就行,我只是想了解一下
……………… |
IFEO劫持,简单的说,是这样的:
病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options分支下建立一系列子键,键名为被劫持的程序(如:瑞星的监控程序RavMon.exe),类型为“字符串”,键值项名为Debugger,Debugger的值为病毒程序主体(如:C:\windows\system32\avfj.exe)。
这样,每当系统启动时,瑞星监控程序加载时均被那个Debugger的键值劫持到病毒程序avfj.exe。实际加载的不是瑞星监控,而是病毒。
