飞鱼博客

所谓镜像劫持就是在想运行A文件，但结果运行的是B文件。

注册表中的修改位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

（注意：很多杀毒软件或防火墙会监控Image File Execution Options里的修改，因此直接修改会被禁止。）

下面举个实例来实现镜像劫持：

将QQ.exe镜像劫持为D盘目录中的一病毒文件abc.exe。

1、打开注册表相应位置；

2、临时关闭下杀毒软件及防火墙的保护功能；

4、在Image File Execution Options 里→ 新建项，命名QQ.exe；

5、QQ.exe键值右边空白处 新建→ 字符串值，命名Debugger，内容填D:\abc.exe；

6、关闭注册表，再恢复杀毒软件及防火墙保护功能。

好了。现在去运行QQ，但每次实际运行的都是D:\abc.exe文件了。

也可以将目标文件劫持到一个空的程序文件，可实现屏蔽目标文件的作用。

空程序，会编程的可很方便的写个，不会编程的也可直接用操作系统自带的系统文件。比如：C:\Windows\System32\svchost.exe。