防范IFEO映像劫持

　　把它改为 C:windowssystem32CMD.exe

　　（PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。）

　　好了，实验下。

　　然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。

　　然后运行之，嘿嘿，出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。。

　　一次简单的恶作剧就成咧……

　　同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径。如果你把病毒清理掉后，重定向项没有清理的

　　话，由于IFEO的作用，没被损坏的程序一样运行不了！

　　三、映像胁持的基本原理：　 　

　　NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。当然，把这些键删除后，程序就可以运行！

　　四，映像胁持的具体案例：

　　引用JM的jzb770325001版主的一个分析案例，蔚为壮观的IFEO，稍微有些名气的都挂了：

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMonD.exe