映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试:
打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,右键,新建项,将其重命名为notepad.exe。在右边空白处点击右键,新建”字符串值“,将其重命名为”Debugger“(一定要是这个参数),右键它,将它的值改为”cmd.exe"。然后会出现这样的现象,双击运行记事本程序(notepad.exe),都会以弹出命令符提示窗口(cmd.exe)来替代,本来要运行notepad.exe,结果运行了cmd.exe。
所以C语言使用“映像劫持技术”的原理就是,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下新建一个项,将它的名字命名为某一应用程序的名字(如杀毒软件的名字),创建Debugger参数,将它的值设置为自身程度的名字。这样,当运行杀毒软件的时候,就会以运行自身来代替。
原文:http://www.cnblogs.com/lanf/p/5092941.html