相信大傢對各種流氓軟件，流氓行為都不陌生，這其中有一種通過註冊表項【Image File Execution Options】進行劫持的方法，或許一些朋友對Image File Execution Options不太瞭解，下面小編簡單的和大傢分享一下映像劫持,註冊表Image File Execution Options作用及使用辦法。

映像劫持（Image File Execution Options，IFEO）技術的利用，存在已久。大都是修改“Debugger“項值，替換執行程序，加以利用。歪果仁最近在研究IFEO的相關項值時，發現瞭GlobalFlag這個特殊的項值，在進一步測試時，發現瞭一種基於IFEO的新後門利用方式。本著求知探索的科學精神。本文對此技術進行分析總結。

0x02 映像劫持簡介

映像劫持（Image File Execution Options），簡單的說法，就是當你打開的是程序A，而運行的確是程序B。

映像劫持其實是Windows內設的用來調試程序的功能，但是現在卻往往被病毒惡意利用。當用戶雙擊對應的程序後，操作系統就會給外殼程序（例如“explorer.exe”）發佈相應的指令，其中包含有執行程序的路徑和文件名，然後由外殼程序來執行該程序。事實上在該過程中，Windows還會在註冊表的上述路徑中查詢所有的映像劫持子鍵，如果存在和該程序名稱完全相同的子鍵，就查詢對應子健中包含的“dubugger”鍵值名，並用其指定的程序路徑來代替原始的程序，之後執行的是遭到“劫持”的虛假程序

IEEO位於註冊表項中

“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”

註意的是，Win7後的系統，需要管理員權限才能夠對一項做出修改。之前的病毒，喜歡修改這個註冊表項，達到劫持系統程序的作用。