什么叫镜像劫持为什么病毒和木马能镜像劫持

您好，您说的IFEO劫持，您确认吗？IFEO只能限制程序运行，而不能中断连接。360网站和360打不开可能是病毒会自动检测打开窗体的标题，如果含有敏感词汇（金山、360、杀毒等）会自动关闭该窗体，也有可能host文件被篡改。您可以尝试使用金山急救箱恢复。

ati2evxxexe —— 这个东西是我遇到的第三个强毒 ，先声明，它是伪装显卡驱动的一个程序，表说我没常识！！！

网上针对此毒的查杀方法我都看过，但效果真的不怎么理想……

很不幸 该病毒的生成路径和网上有出入，不在C:\Program Files\Common Files目录下，而是C:\WINDOWS\Fonts 目录——也就是Windows字体类型存放目录， 在C:\WINDOWS\Fonts下还有一个文件夹：C:\WINDOWS\Fonts\system ，这个病毒很有个性啊。。。 因为 C:\WINDOWS\Fonts 下手动根本无法新建文件夹。

我试过网上的方法，安全模式（自然要进）——Windows优化大师（我就瞧准了它有一个文件粉碎和注册表信息优化）——360安全卫士根本用不了（你想用也可以，去把注册表改回来，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项下，删掉你看到的所有360项，它即可启动，但我劝你还是放弃这种徒劳的举动……呵呵 听我说完）—— IceSword （这个东西用来结束进程，强制删除病毒） —— 启动项 （把被篡改的修正） 。

起初，本人不太了解ati2evxxexe 的原理…… 亏大了！ Ghost还原了两次，还有毒——为什么？？？ 呵呵，我还没考虑要重装，岂不和Ghost一样，而且重装那个久啊···

经过一番“研究” ，找到关键的三个地方：1，映像劫持——我的理解是能感染部分EXE文件，看了上面注册表的位置我可以清楚的知道是什么文件被感染…… 2，userinitexe 这个东西也会被感染。 3，每个硬盘下都有 autoruninf 和 ntldrexe

那为什么ghost恢复后还有毒？ 原来 我ghost备份时连带有360safe作为启动项，原本它装在E盘，恢复后C盘当然是干净的，E盘360safeexe被感染，ghost 还原后360safe是其中一个启动项，所以等同于恢复的同时随机启动项间接启动了病毒。。。 病毒一启动 原本干净的 userinitexe 立刻被感染 ！！！ 一切都白做···

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

杀ati2evxxexe 一般 步骤：

1，到别的机子拷一个userinitexe 过来，在C:\WINDOWS\system32目录下；

2，进安全模式，这是必然的 （除非你还中了AV终结者之类的东西，不然一定可以进 ）

3，任务管理器，结束进程 ati2evxxexe。你用优化大师也好，用Icesword也好（庆幸吧 ，ati2evxxexe没有劫持这两个程序），找到C:\WINDOWS\Fonts\system这个目录，将它整个删掉！ 接着，显示所有隐藏文件 将每个盘下的 autoruninf 和 ntldrexe 删掉 ！ 肯定有，用Icesword，文件——单击盘符即可见！

4，打开注册表（别说你不会）找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，（我建议）手动删掉和ati2evxxexe有关的一切 （注册表右侧的名称和数据会写的很清楚）；当然，你可以用优化大师，查找目标ati2evxx ， 搜索整个注册表，删掉它搜到的所有东西。如此，注册表就干净了。

5，启动你想启动的任何程序吧，杀软，360安全卫士 …… 全盘扫描，你会扫出很多很多很多很多……的木马， 呵呵，痛快的杀吧，它们都是ati2evxxexe带出来的。。。

6，去掉多余启动项，我个人建议：除了ctfmonexe之外，其他的 杀软，防火墙，迅雷，QQ，无关紧要的驱动程序等一律不要随机启动！！！

7，将userinitexe 复制 粘贴在C:\WINDOWS\system32目录下；

8，正常重启。祈祷你所做的一切不是白费的吧！如果你好运的话系统已经恢复正常。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

呵呵，如果不幸 ati2evxxexe还在的话（不该说“还在”，应该说它又出现了）。 格盘吧！

做好重要文件的备份，格掉所有硬盘（不只是C盘）。 我个人建议不要重装，否则你会后悔的！

啊哈！！！

系统被镜像劫持后会导致注册表冗余文件过多而导致系统卡顿。

程序不管放在什么位置，打开该程序的时候，都会出现该程序无法运行或者指向另一个程序的情况，但是如果给该程序改名后便发现可以正常运行了。

“映像劫持”，也被称为“IFEO”，在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。

映像劫持：

1、在Windows系统的注册表中，会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，这个项其实也是系统启动过程中起着重要作用的启动项；

2、系统默认情况下对该项的权限设置并不严格，只要是管理员组用户，就拥有完全控制的权限。

3、而正是这一特点，也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项，在其下添加与各杀毒软件或安全软件进程名称相关的子项，然后在相关的子项右面窗口中会发现一个Debugger键值，并且其键值数据指向了病毒文件的路径，这其实就是看到的镜像劫持，若所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同，那么杀毒软件就无法运行了，但是进程名称若没在木马病毒的名单中，那么这个杀毒软件就可以继续使用并发挥应有的作用。

查杀：万一遭遇这种病毒，可以先试试腾讯电脑管家，如果可以运行，在“杀毒”选项中点击全盘查杀，这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置，以及硬盘中所有文件进行检测，它毕竟拥有4+1核心杀毒引擎，且使用了CPU虚拟执行技术，能够发现病毒木马并对木马病毒予以根除。

以上就是关于什么叫镜像劫持为什么病毒和木马能镜像劫持全部的内容，包括:什么叫镜像劫持为什么病毒和木马能镜像劫持、电脑被镜像劫持！只要是带杀毒的专杀的都打不开！还挂载有木马下载器！360被屏蔽不管用！、遭到镜像劫持怎么办等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！