好了，實驗下，看看效果。點擊QQ.exe，看出現(xiàn)了什么

 QQ主程序QQ.exe被記事本"劫持"了，記事本直接按照.txt文檔格式打開了QQ.exe程序。

回到注冊表，刪除相應鍵，一切又恢復了正常，熟悉的QQ界面回來了。

同理，病毒等也可以利用這樣的方法，把殺毒軟件、安全工具等名字再進行重定向，指向病毒路徑。所以，如果你把病毒清理掉后，重定向項沒有清理的話，由于IFEO的作用，沒被損壞的程序一樣運行不了！

映像劫持終極利用–讓病毒迷失自我　　

同上面的道理一樣，如果我們把病毒程序給重定向了，病毒也就變得"找不到北"無法正常運行了。

WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe]
Debugger=123.exe

 將上面的代碼保存為后綴.reg的文件，雙擊執(zhí)行(這里以金豬病毒和威金病毒為例)，這樣即使這些病毒在系統(tǒng)啟動項里面，即使隨系統(tǒng)運行了，但是由于映象劫持的重定向作用，還是會被系統(tǒng)提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。

現(xiàn)在病毒木馬更多的是在利用各類移動設施(U盤等)、通過網(wǎng)頁掛馬進行傳播，通過模擬用戶操作關閉殺毒軟件。但我們?nèi)匀豢梢酝ㄟ^這個映像劫持的實例進行深入思考：如何利用病毒自身的技術來抵御病毒木馬的入侵。

yajing