镜像劫持”“镜像劫持”这项技术是从AV终结者病毒开始被我们所了解的，虽然真正知道它的人不多，但是杀毒软件和安全工具无法运行的惨样却令我们记忆犹新。曾经吹嘘自己的防护措施多么多么安全的杀毒软件，轻而易举地就被病毒的“镜像劫持”技术给干掉了。在前几期介绍AV终结者的时候我们也点到过“镜像劫持”技术，这次我们就来详细地了解它。“镜像劫持”的原理镜像劫持：什么是劫持？打个比方“911事件”中的劫机者，他们就劫持了飞机。从而飞机往那里飞都得听这些劫机者的，而劫机者可以想要飞机撞世贸就撞世贸，想撞五角大楼就，这就是劫持。而“镜像劫持”又是什么呢？“镜像”有什么值得劫持的价值呢？这些问题我们就要参考下面的“镜像劫持”的原理了。“镜像”是注册表中“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions”项，是在注册表中的作用是用来调试程序的，因此其优先级很高，系统会先检查该项才决定是否运行程序。正因为这点，无论我们的杀毒软件和安全工具装在硬盘中的哪个分区，都会受“ImageFileExecutionOptions”项的限制，正式因为“镜像”有如此权利所以才让病毒们起了异心。图1.被病毒劫持的程序“镜像劫持”的实现下面我们来举例了解一下“镜像劫持”的效果：step1.在注册表中定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions处。step2.在“ImageFileExecutionOptions”项上单击右键→新建→项，将项的名称修改为“QQ.exe”。step3.选中“QQ.exe”项，在右侧的空白处单击右键→新建→字符串。step4.将“字符串值”的名称设置为“Debugger”。step5.双击“Debugger”键，在“数值数据”中填入你要转向的程序。本例为“C:windowssystem32cmd.exe”，设置完成后退出注册表即可。图2.“Debugger”键值内容这样一个“镜像劫持”就做完了。当我们双击QQ的主程序QQ.exe时，出现的将不再是QQ的登陆界面，而是“命令提示符”，简单但是杀伤力巨大，这就是“镜像劫持”的特点。但是它的缺点也很明显，就是它只认文件名，如果我们将QQ.exe改为QQ1.exe，就可以让QQ摆脱“镜像劫持”正常运行了。所以当我们感染带有“镜像劫持”技术的病毒时，只要将被劫持的程序文件名改一下即可正常运行。恢复被“镜像劫持”的程序知道原理后，恢复被“镜像劫持”的程序就很容易了，定位到注册表的“ImageFileExecutionOptions”处，删除其下以被劫持程序命名的项即可。但是该处中默认存在着不少的项，如何区分原有的项和被劫持的项呢？我们可以查看该项中是否存在Debugger键，有的话就基本可以判定是被劫持的项了，不过这个方法不适合默认存在的“YourImageFileNameHerewithoutapath”项。此外，我们也可以使用带有清除“镜像劫持”功能的软件，例如“autoruns”。双击运行后切换到“映像劫持”标签，其中将会显示被劫持的程序，选中后单击右键，选择“删除”即可。不过“autoruns”也是根据“Debugger”键来判断程序是否被劫持的，因此清除时同样要排除“YourImageFileNameHerewithoutapath”项。图3.“autoruns”软件其实“镜像劫持”并不是病毒的专利，我们也可以用它来干一些好事，例如作为网吧的网管，为了防止顾客关闭管理软件，你可以将“任务管理器”劫持为IE浏览器，封锁一些黑客软件等等，效果还是不错的。