[Windows]关于映像劫持

什么是映像劫持

也许你曾遇到过这种情况：无论你将软件安装在什么地方，在运行的时候总会出现“系统找不到指定的文件”的错误提示，导致软件无法运行。如果你将软件的exe文件改个名称，就可以正常运行了。这种现象就叫做映像劫持。映像劫持是一种影响系统正常运转的手段，很多病毒、木马都会使用这种手段阻止安全软件的运行。

 

映像劫持的原理

映像劫持是利用Windows的IFEO（Image File Execution Options）功能来实现的。IFEO实际上是Windows的一项正常功能，主要用于调试程序，其初衷是在程序启动的时候开启调试器来调试程序，这样一来可以在调试器中观察程序在难以重现的环境中的行为。例如，某个程序在随用户登录自动启动时会出错，但在登录后手动启动时却一切正常，这就可以通过IFEO设置一个调试器，无论程序何时启动，都会开启这个调试器对其进行调试，以便找出问题。

 

在注册表中，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options就是保存IFEO设置的地方。下面来演示一下IFEO正常的用法（假设你已经安装了Visual Studio）：

 

打开注册表编辑器，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中添加一个新的项，取名为“calc.exe”。

 

打开刚刚创建的calc.exe项，在右侧的窗格中右击，新建一个字符串值，取名为“Debugger”，取值为“vsjitdebugger.exe”。关闭注册表编辑器。

 

此时运行系统自带的计算器，会弹出一个应用程序错误窗口，选择“调试程序”，就会启动Visual Studio对计算器进行调试。

 

当你运行calc.exe的时候，系统首先会在注册表的Image File Execution Options中寻找名为“calc.exe”的项，如果存在该项，则继续寻找名为“Debugger”的字符串值，如果找到，则转而启动Debugger值中指定的程序，即vsjitdebugger.exe，并将calc.exe的完整路径作为参数传递给它。所以，当你运行计算器的时候，系统实际上执行的是“vsjitdebugger.exe C:\Windows\System32\calc.exe”这个命令行，而不是“calc.exe”。

 

IFEO的初衷是很好的，但它的设计显然不够完善。在上面的例子中，如果你将“vsjitdebugger.exe”改成“cmd.exe”，那么运行计算器的时候却打开了一个命令行窗口；如果改成任意一个不存在的程序名称，例如“abc”，那么运行计算器的时候就会出现“系统找不到指定的文件”的错误，此时calc.exe这个程序（映像）被“劫持”了。

 

由此可以看出，映像劫持并不等于IFEO，反之亦然。映像劫持的正式英文名称其实是“Image Hijack”。

 

 

 

下面是我开发的一个用于编辑IFEO的小程序，其前身是skycn上的“映像劫持编辑器”。该程序由于被扫描出含有病毒，被停止下载了。对此我想说的是，IFEO属于注册表的敏感区域，修改这个区域的程序都有可能被杀毒软件封杀。如果你不放心的话，最好还是不要使用了。

 

==========

IfeoEditor

系统支持：XP/Vista/Win7

 

最新版本：2.0.0 Beta

下载地址：https://files.cnblogs.com/zplutor/IfeoEditor_2.0.0_Beta.rar