有些病毒会利用映像劫持来对付我们杀毒，即我们明明点A程序，而真正却跑去运行B程序了。

如果是映像劫持，该如何用注册表修改。

还是实例看下，我下了个有映像劫持的病毒。运行重启后。

进注册表看看发生了什么变化，正常情况下ImageFileExecutionOptions下面应没有任何子键的。

注册表位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions


打开注册表，ctrl+F ，打开查找框，输入ImageFileExecutionOptions，按查找下一个


 附件: 您所在的用户组无法下载或查看附件


看左边窗口，这些安全工具都被劫持了。


 附件: 您所在的用户组无法下载或查看附件


把那些项都删除，即可解除被劫持的状况。

先来看看我们平时显示隐藏文件的一般操作和效果。


 附件: 您所在的用户组无法下载或查看附件


打开注册表，按“ctrl+F”，查找SHOWALL，即定位到以下注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL


键值名：CheckedValue    数据类型：dword

修改值：0


 附件: 您所在的用户组无法下载或查看附件


修改完毕后，关闭注册表。我们再去C盘用用刚才那招。



 附件: 您所在的用户组无法下载或查看附件


额，结果不容乐观哈，看来这招不是最强的。要恢复就把刚才那个值改回1即可。

打开IE浏览器----Internet选项---安全，出现的是不是如下对话框


 附件: 您所在的用户组无法下载或查看附件


现在来做个注册表修改，这次修改内容比较多，不建议去记了。

打开一个记事本，输入如下内容：
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
@=""
"DisplayName"="我的电脑"
"Description"="您的计算机"
"Icon"="explorer.exe#0100"
"CurrentLevel"=dword:00000000
"Flags"=dword:00000001
"1001"=dword:00000000
"1004"=dword:00000000
"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1402"=dword:00000000
"1405"=dword:00000000
"1406"=dword:00000000
"1407"=dword:00000000
"1601"=dword:00000000
"1604"=dword:00000000
"1605"=dword:00000000
"1606"=dword:00000000
"1607"=dword:00000000
"1608"=dword:00000000
"1609"=dword:00000001
"1800"=dword:00000000
"1802"=dword:00000000
"1803"=dword:00000000
"1804"=dword:00000000
"1805"=dword:00000000
"1A00"=dword:00000000
"1A02"=dword:00000000
"1A03"=dword:00000000
"1A04"=dword:00000000
"1A05"=dword:00000000
"1A06"=dword:00000000
"1A10"=dword:00000000
"1C00"=dword:00020000
"1E05"=dword:00030000
"1206"=dword:00000000

完毕后，保存为reg文件，双击导入注册表，这时重新打开IE浏览器看看

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件




以下附件就是这个reg文件。


 附件: 您所在的用户组无法下载或查看附件


这次真要睡了。。。。ZZZZZZZ