我的电脑被映像劫持了，请帮忙，谢谢

一. 原理

所谓的映像劫持就是Image File Execution Options（其实应该称之为"Image Hijack"）。它位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options。由于这个项主要是用来调试程序，对一般用户意义不大，默认是只有管理员和local system有权读写修改。

例如:我想运行qq.exe，结果打开的却是360.exe 这种情况下，QQ程序被360给劫持了，也就是说你想运行的程序被另外一个程序替换了。

二. 被劫持

虽然映像劫持是Windows为程序员准备的功能，对一般用户来说没多大用，但是就有一些病毒通过映像劫持来做文章。表面上看起来是运行了一个正常的程序，实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载Windows启动项来运行的，也有一些是注册成为Windows服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce

但是与一般的木马和病毒不同的是，有一些病毒偏偏不通过这些来加载自己，不随着Windows的启动运行。木马病毒的制作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要感觉自己的电脑中了病毒，首先要查看的就是Windows的加载项，很少有人会想到映像劫持，这就是制作者的可恨之处!

病毒主要通过修改注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

项来劫持正常的程序，比如有一个病毒（360.EXE） 要劫持QQ程序，它会在上面注册表的位置新建一个qq.exe项，再在这个项下面新建一个字符串值debugger再把其值设为"C:\Program Files\360.exe" (病毒的绝对路径)。

三. 玩劫持

1.禁止某些程序的运行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
"debugger"="1.exe"

把上面的代码复制到记事本,另存为1.reg，双击导入注册表，每次双击运行QQ的时候，Windows都会弹出提示框说找不到QQ，原因就QQ被重定向了。如果要让QQ继续运行的话，把1.exe改为其安装目录就可以了。

2.偷梁换柱恶作剧

每次我们同时按下Ctrl+Alt+Del，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"debugger"="cmd"

将上面的代码复制到记事本,另存为 change.reg，双击导入注册表。同时按下那三个键就能打开“命令提示符”。

3.让病毒彻底残废

同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
"Debugger"="1.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
"Debugger"="1.exe"

上面的代码是以金猪和威金病毒为例，这样即使这些病毒在Windows启动项里面，即使随Windows运行了，但是由于映象劫持的重定向作用，还是会被Windows提示无法找到该文件(这里是logo_1.exe和sppoolsv.exe)。

四. 防劫持

1.权限控制法

打开注册表编辑器，定位到

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ,选中该项，右键单击→权限→高级，取消当前用户（Administrator）和system用户的写入权限即可。

2.赶尽杀绝法

点击「开始」菜单→运行→输入reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f

我也是，郁闷啊，不知道怎么办了，但是可以上网，那个高手告诉一下