映像劫持百度百科的定义：

所谓的映像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger=”C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件，类似文件关联的效果。

映像劫持（也称为镜像劫持）简单来说就是通过修改特定的注册表键值将你要打开的正确程序替换为篡改者自己提供的程序。也就是说正常情况下cmd.exe—>c:/windows/system32/cmd.exe 映像劫持后就可以将这种映像映射关系改为cmd.exe—>d:/test/shutdown.exe,当你原本想打开一个cmd窗口的时候却莫名其妙地运行了shutdown.exe这个程序，当然大多数恶意软件会将映像劫持指向精心设计的恶意病毒程序。如果将所有安全软件的应用程序名字列为一个名单全部映像劫持到病毒软件，那么当你想要打开任何杀毒软件的时候都没有任何反应！毒没有查杀到相反你却启动了病毒。最简便的方法就是根据杀毒软件的快捷方式找到杀毒软件的exe文件位置，然后修改该exe文件的文件名，改好之后就可以运行杀毒软件杀毒了，最好再进入安全模式下杀下毒。

基于互联网精神，在注明出处的前提下本站文章可自由转载！

本文链接：https://ranjuan.cn/计算机系统之映像劫持/