可能我們都遇到過這樣的情況，正常的程序不管放在什么位置，就算是是重新使用修復(fù)過的系統(tǒng)，會(huì)出現(xiàn)改程序無(wú)法運(yùn)行以及運(yùn)行此程序指向另外的一個(gè)程序這樣的情況。其實(shí)幫此程序改名后還是可以正常運(yùn)行的，這是因?yàn)樵撓到y(tǒng)遭遇映像劫持。

鏡像劫持是計(jì)算機(jī)術(shù)語(yǔ)，是也一種將殺毒軟件置于死地的技術(shù)，是病毒在注冊(cè)表中新建的一個(gè)用以屏蔽殺毒軟件的項(xiàng)，引誘用戶點(diǎn)擊相應(yīng)的病毒文件啟發(fā)文件關(guān)聯(lián)的技術(shù)。用鏡像劫持防病毒，用戶雙擊Rav.exe就會(huì)運(yùn)行OSO的病毒文件，類似文件關(guān)聯(lián)的效果。

1，點(diǎn)擊開始按鈕，點(diǎn)擊運(yùn)行，打開運(yùn)行窗口，輸入regedit。

鏡像劫持電腦圖解1

,

鏡像劫持操作電腦圖解2

2，點(diǎn)擊確定，將打開注冊(cè)表窗口。

鏡像劫持病毒電腦圖解3

3，按照下列路徑找到相關(guān)注冊(cè)表項(xiàng)，操作如圖:

映像脅持電腦圖解4

4，將新建的項(xiàng)重命名為notepad.exe。然后回車確定就可以了。

鏡像劫持電腦圖解5

5，選中左側(cè)的notepad.exe項(xiàng)，在右側(cè)任意空白處右鍵，新建，字符串值。

映像脅持電腦圖解6

鏡像劫持操作電腦圖解7

6，將  新值 #1  改為  Debugger，并回車。這里要注意大小寫。然后雙擊Debugger，彈出對(duì)話框，在  數(shù)值數(shù)據(jù)  文本框中輸入  ntsd -d，再點(diǎn)  確定。那么鏡像劫持就做完了。

鏡像劫持電腦圖解8

7，

此時(shí)，我們隨便打開一個(gè)文本文檔看看會(huì)出現(xiàn)什么情況。

可以看到，明明  測(cè)試.txt  就在眼皮子底下，可是windows就是找不到。不管你打開哪個(gè)文本文檔都會(huì)是這個(gè)效果。

同樣，在設(shè)置完鏡像劫持后，任何人都無(wú)法運(yùn)行相應(yīng)的程序。除非刪掉那個(gè)Debugger才行。

映像脅持電腦圖解9

8其實(shí)ntsd -d可以換成任何其他字符。你甚至可以講起設(shè)置為另一個(gè)程序的路徑。我們以系統(tǒng)自帶的計(jì)算器為例。將ntsd -d 改成C:\Windows\System32\calc.exe，再看看效果。

鏡像劫持病毒電腦圖解10