映像劫持与系统安全漏洞.ppt

所谓的映像劫持IFEO就是Image File Execution Options，其实应该称为“Image Hijack”。它是位于注册表的
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options。
出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就会被劫持。
病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径。