一、什麼是映像脅持(IFEO)
IFEO就是Image File Execution Options 的縮寫
它是位於注冊表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由於這個項主要是用來調試程序用的,對一般用戶意義不大,但是這個是病毒就喜歡用到的地方。
二、windows映像劫持的症狀
基本症狀:一個正常的程序,無論把它放在哪個位置,或者是一個程序重新用安裝盤修復過,都出現無法運行或者是比如運行A卻成了執行B,而改名後卻可以正常運行。
三、映像脅持的具體事例
我們可以看到這個技術的強大之處!很多的殺軟進程和一些輔助殺軟或工具,全部被脅持,導致所有殺軟都無法運行或者運行了A程序變成B程序!
四、如何解決並預防IFEO
方法一:改權限
要修改Image File Execution Options,要有權限,所以我們改權限就限制病毒修改
打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\
,選中該項,右鍵→權限→高級,取消administrator和system用戶的寫權限即可。
方法二:直接刪除Image File Execution Options
呵呵!如果大家不知道哪些程序是自己要用的,就直接刪除Image File Execution Options這個項行了
