镜像劫持

操作系统本身就自带映像劫持的功能，病毒通过修改注册表 来实现对杀毒软件的劫持，当你运行杀软的时候，它就会自动把目标指向病毒的路径，结果，运行的是病毒，而不是杀毒软件。

　　一、镜像劫持概述

　　 系统在试图执行一个从命令行调用可执行文件， 运行请求时，会先检查运行程序是不是可执行文件，如果是的话，继续检查格式，最后才会检查文件是否存在。如果不存在的话，它会提示系统找不到文件或者是 “ 指定的路径不正确 “ 等错误。把注册表中的这些键删除后，程序就可以正常运行了。

　　虽然镜像劫持是系统自带的功能，对我们一般用户来说根本没什么用处，但是就有一些病毒通过镜像劫持，却可以实现其目的，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。

　　大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，它们主要通过修改注册表来实现这个目的，主要有以下几个方面：

　　 HKEY_LOCAL_MACHINE/SOFTWARE ＼ Microsoft/Windows/CurrentVersion/Run*

　　 HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run*

　　 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs

　　 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify

　　但是与一般的木马、病毒不同的是，有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到用户运行某个特定的程序的时候才运行，这正好抓住了一些用户的心理。

　　二、镜像劫持原理

　　一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到镜像劫持，这正是某些病毒高明的地方。

　　劫持病毒主要通过修改注册表中的 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Executionoptions 项来劫持正常的程序，比如有一个病毒 bingdu.exe 要劫持 QQ 程序，它会在上面注册表的位置新建一个 QQ.exe 项，在这个项下面新建一个字符串的 键值 “debugger” 内容是： C:/WINDOWS/SYSTEM32/bingdu.exe 。当然，如果你把该字符串值改为任意的其他值的话，系统 就会提示找不到该文件。

　　三、镜像劫持杀毒软件

　　原理如上，下面是关于如何劫持杀毒软件的方法与解除的方法！

　　 ① 劫持方法

　　下面是注册表导入命令，把下面的命令粘贴到新的 TXT 文档中，另存为 .REG 后缀就行了，双击导入就行了

　　 Windows Registry Editor Version 5.00

　　 [HKEY_LOCAL_MACHINE ＼ SOFTWARE ＼ Microsoft ＼ Windows NT ＼ CurrentVersion ＼<