映像劫持技术（1）：简单介绍

    映像劫持，即Image File Execution Option.在深入了解这个概念之前，可以简单地认为，它可以令应用程度重定向。这是注册表里的一个功能，可以做这样的尝试：

    打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，右键，新建项，将其重命名为notepad.exe。在右边空白处点击右键，新建”字符串值“，将其重命名为”Debugger“（一定要是这个参数），右键它，将它的值改为”cmd.exe"。然后会出现这样的现象，双击运行记事本程序（notepad.exe），都会以弹出命令符提示窗口（cmd.exe）来替代，本来要运行notepad.exe，结果运行了cmd.exe。

    所以C语言使用“映像劫持技术”的原理就是，在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下新建一个项，将它的名字命名为某一应用程序的名字（如杀毒软件的名字），创建Debugger参数，将它的值设置为自身程度的名字。这样，当运行杀毒软件的时候，就会以运行自身来代替。