我的电脑被映像劫持了，请帮忙，谢谢

一 原理

所谓的映像劫持就是Image File Execution Options（其实应该称之为"Image Hijack"）。它位于注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options。由于这个项主要是用来调试程序，对一般用户意义不大，默认是只有管理员和local system有权读写修改。

例如:我想运行qqexe，结果打开的却是360exe 这种情况下，QQ程序被360给劫持了，也就是说你想运行的程序被另外一个程序替换了。

二 被劫持

虽然映像劫持是Windows为程序员准备的功能，对一般用户来说没多大用，但是就有一些病毒通过映像劫持来做文章。表面上看起来是运行了一个正常的程序，实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载Windows启动项来运行的，也有一些是注册成为Windows服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce

但是与一般的木马和病毒不同的是，有一些病毒偏偏不通过这些来加载自己，不随着Windows的启动运行。木马病毒的制作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要感觉自己的电脑中了病毒，首先要查看的就是Windows的加载项，很少有人会想到映像劫持，这就是制作者的可恨之处!

病毒主要通过修改注册表中的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

项来劫持正常的程序，比如有一个病毒（360EXE） 要劫持QQ程序，它会在上面注册表的位置新建一个qqexe项，再在这个项下面新建一个字符串值debugger再把其值设为"C:\Program Files\360exe" (病毒的绝对路径)。

三 玩劫持

1禁止某些程序的运行

Windows Registry Editor Version 500

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qqexe]

"debugger"="1exe"

把上面的代码复制到记事本,另存为1reg，双击导入注册表，每次双击运行QQ的时候，Windows都会d出提示框说找不到QQ，原因就QQ被重定向了。如果要让QQ继续运行的话，把1exe改为其安装目录就可以了。

2偷梁换柱恶作剧

每次我们同时按下Ctrl+Alt+Del，都会d出任务管理器，想不想在我们按下这些键的时候让它d出命令提示符

Windows Registry Editor Version 500

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgrexe]

"debugger"="cmd"

将上面的代码复制到记事本,另存为 changereg，双击导入注册表。同时按下那三个键就能打开“命令提示符”。

3让病毒彻底残废

同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。

Windows Registry Editor Version 500

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsvexe]

"Debugger"="1exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1exe]

"Debugger"="1exe"

上面的代码是以金猪和威金病毒为例，这样即使这些病毒在Windows启动项里面，即使随Windows运行了，但是由于映象劫持的重定向作用，还是会被Windows提示无法找到该文件(这里是logo_1exe和sppoolsvexe)。

四 防劫持

1权限控制法

打开注册表编辑器，定位到

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ,选中该项，右键单击→权限→高级，取消当前用户（Administrator）和system用户的写入权限即可。

2赶尽杀绝法

点击「开始」菜单→运行→输入reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f

几种解决方法：

1、编辑hosts文件

HOSTS文件存在于Windows目录下的System32\Drivers\Etc目录中。如果恶意网页将正常的域名映射到恶意网页的IP地址，则输入正常网址便会连接到恶意程序指定的网页上。

当输入正常的网址却被打开一个不知名的网站，则很有可能是因为HOSTS文件被修改了。用记事本打开这个文件，手工删除被恶意程序添加的项目并保存文件，就可以正常访问你要浏览的网站了（如果你从未使用过该文件，则直接删除所有内容后保存也可）。

2、修改注册表项目

IE浏览器的主页地址、浏览器标题、默认搜索页地址等信息都是记录在系统注册表当中的，恶意程序通过对注册表的修改就可以控制这些项目的内容。

可以使用各大杀毒软件附带的注册表修复工具对注册表进行修复。

3、通过浏览器加载项方式及木马进行劫持：

一些恶意程序作为IE加载项（Plugins）的方式启动自己，每次IE浏览器后都会自动运行恶意程序。通常恶意程序用来定时d出广告，在IE的右键菜单中添加恶意网站链接以及动态修改注册表等。另外木马方式运行的浏览器劫持程序，目的与浏览器加载项方式类似，只是自启动方式不同。这种木马方式的劫持程序运行更隐蔽，清除更复杂，可以自动更新程序，并且可能同时具备上面的几种劫持方式。

4、对于单一的d出网站（网页），可以试试下面的方法：

找到（复制）它的地址。

然后在IE里通过：工具－－Internet选项－－安全，点击“请为不同区域的Web内容指定安全设置”下的“受限站点”，然后点击下面的“站点”按钮，然后在“将该网站添加到区域”中将这个网站复制进去，点击“确定”即可。

以上就是关于我的电脑被映像劫持了，请帮忙，谢谢全部的内容，包括:我的电脑被映像劫持了，请帮忙，谢谢、IE主页被劫持了，怎么清除劫持啊、等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！