注册表“镜像劫持”

什么是映像胁持（IFEO）

“映像劫持”，也被称为“IFEO”（Image File Execution Options），在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。进程屏蔽

注册表打开下面路径：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等，大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。

如何双击打开一个程序自动跳转到另外一个程序

可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验:

1、开始-运行-regedit,展开到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

2、然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成MicrosoftEdgeSetup.exe（这是一个微软Edge浏览器的安装程序，这里仅用来测试。）

3、选上MicrosoftEdgeSetup.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为"Debugger"

4、这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。。

5、然后找个扩展名为EXE的，（我这里拿Hash.exe做实验）

6、把Debugger的值改为 C:\Hash.exe  (这里的意思是打开C盘根目录下的Hash程序)

7、然后运行MicrosoftEdgeSetup.exe这个程序，自动打开的却是Hash.exe这个程序，大功告成！

同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径。所以，如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！

如何使用注册表屏蔽进程

方法和上面的一样，在第六步输入的值变了，不是路径，而是一个debugfile.exe程序，这是再打开MicrosoftEdgeSetup.exe就会有以下提示：