在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被称为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
  所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。
 
我们可以把“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。改成错误的位置,比如123,这样当运行某个程序就会报错了,
这样比较好用,不过人家把程序的名称改一下就又能用了,看来还要想更好的方法啊!
 
这里有我做的小小实验,感兴趣的同学可以共同探讨探讨