防范IFEO映像劫持

　　本文示例源代码或素材下载

　　由于最近病毒都采用了IFEO映像劫持技术，导致杀软无法运行或提示无法打开文件，最近此类病毒非常流行，病毒清除操作起来相对复杂一些，所以今天特意发帖强调大家注意。

　　关于IFEO的介绍网络上有非常多，本文借用的是剑盟skyshine的帖子内容，感谢原作者！重要的是第五步的预防方法，简单有效，可达到防患于未然，避免中毒的苦恼。

　　基本症状：可能有朋友遇到过这样的情况，一个正常的程序，无论把他放在哪个位置或者是重新用安装盘修复过的程序，都无法运行或者是比如运行A却成了执行B的程序了，而改名后却可以正常运行。

　　既然我们是介绍IFEO技术相关，那我们就先介绍下：

　　一、什么是映像胁持（IFEO）？

　　所谓的IFEO就是Image File Execution Options是位于注册表的

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

　　由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改，先看看常规病毒等怎么修改注册表吧。

　　那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

　　等等……

　　二、具体使用资料：

　　下面是蓝色寒冰的一段介绍：