IEFO劫持简介

病毒的常见伎俩-----IEFO劫持简介
介绍

IEFO劫持，也称作映像文件劫持， 是Image File Execution Options的简称。Image File Execution Options是位于注册表的一个项。所谓的IEFO劫持就是病毒修改这个项的内容，导致常见的杀软，安全软件无法启动。

IEFO劫持的基本原理：

IEFO劫持的对象是所有的可执行文件，即扩展名为exe的文件。可执行文件的启动顺序为
用户请求->查看是否有调试选项->操作系统启动程序。病毒只要在第二步控制程序的运行即可，试想一个调试不通过的程序，系统肯定是不让启动的.

IEFO劫持的方法:

IEFO劫持靠的就是这个注册表的这个项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。
下面我们就来模拟病毒是如何劫持杀软吧。QQ现在是装机必备的软件，那么先拿这只可怜的企鹅开刀 （注：不会对QQ程序造成影响）
1.打开注册表，在“运行”中输入regedit

2.转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
[attach]641797[/attach]


3.添加qq.exe的项
[attach]641798[/attach]

4.选中qq.exe项，新建字符串值
[attach]641799[/attach]


5.串名必须是debugger，然后按下图填写
[attach]641800[/attach]


6.填好后，运行qq，查看效果
[attach]641801[/attach]


7.换个程序，这次选择的是命令提示符的路径，再来
[attach]641802[/attach]

8。 ，运行qq，怎么运行了命令提示符
[attach]641803[/attach]


结论
IEFO劫持其实就是程序的重定向，有点偷龙转凤的味道。运行A程序，结果却运行了B程序，当B程序不存在，程序无错无法运行。最后最重要的一点，IEFO劫持仅仅针对文件名劫持，不针对文件本身。比如我把我最心爱的war3.exe改成qq.exe，弹出的就是命令行 ，懂了这招的话，水平菜点的话，魔兽都玩不了了
实验完毕，删除qq.exe这个项，一切回复正常。
有不足之处，还望大家指出