镜像劫持

镜像劫持是什么病毒，怎么杀？ 360老提示我 ，也杀不掉

镜像劫持的意义　　在针对杀毒软件方面，OSO病毒还采用了一种新技术，这种技术被成为镜像劫持，通过这种技术也能够将杀毒软件置于死地。
　　所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。对这个病毒的清除注意几点：（代表个人意见）
　　1、重启进入安全模式下后所有硬盘操作都要右键打开，切记不要双击打开各个分区！
　　2、进入后要去掉隐藏的系统属性。（这一步要先编辑注册表否则实现不了，病毒已经更改注册表使隐藏的文件选项失效）
　　3、找到隐藏的文件后删除即可！
　　4、手动删除添加的非法 IFEO 劫持项目，重启后即可. 镜像劫持的简单解决方法 　　如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话，
　　其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。
　　首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

镜像劫持是什么病毒，怎么杀？

所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。对这个病毒的清除注意几点：1、重启进入安全模式下后所有硬盘操作都要右键打开，切记不要双击打开各个分区；2、进入后要去掉隐藏的系统属性。（这一步要先编辑注册表否则实现不了，病毒已经更改注册表使隐藏的文件选项失效）；3、找到隐藏的文件后删除即可；4、手动删除添加的非法 IFEO 劫持项目，重启后即可. 镜像劫持的简单解决方法 　　如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。注：找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

镜像劫持的有关操作

autorun.inf 和oobtwtr.exe手动去除法:1．首先下载autoruns2．然后打开运行　镜像劫持；3．接下来单击开始|运行|输入cmd，回车|x：回车（x是你的盘符）4．输入attrib autorun.inf -s -h -rattrib oobtwtr.exe -s -h -r (去隐藏属性)；5．输入del　autorun.infdel　oobtwtr.exe（删除） 用镜像劫持防病毒把system.rar解压后的文件在d:\sysset\menu目录下后上传参数就行了。易游开机会自动导入这个注册表文件的.可以在百度上搜一下就知道了.什么是镜像劫持（IFEO）？ 所谓的IFEO就是Image File Execution Options在是位于注册表的:由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改先看看常规病毒等怎么修改注册表吧。。那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce等等。。。。。。。。。。。。。。。随着网友的安全意识提高和众多安全软件的针对，都可以很容易的对上面的恶意启动项进行很好的处理于是。。一种新的技术又产生了。。。。那就是IFEO。。嗯了，可能说了上面那么多，大家还弄不懂是什么意思，没关系，来做个小实验！如上图了，开始-运行-regedit,展开到IFEO：然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exeClick here to open new windowCTRL+Mouse wheel to zoom in/out选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。。把它改为 C:\windows\system32\CMD.exe（PS：C：是系统盘，如果你系统安装在D则改为D： 如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。。。）好了，实验下。~在此之前，记得先把“隐藏以知文件类型扩展名”的勾去掉！然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。。。然后运行之。。。嘿嘿。。出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。。HOHO~一次简单的恶作剧就成咧。。。同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！原理：NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。当然，把这些键删除后，程序就可以运行咧，嘿嘿~知道了后，怎么预防呢？一般就两个方法了，第一种比较实用。。。任何人都可以。。方法一：限制法。。它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）然后还是展开到IFEO：记得把有管理权限用户都要进行设置！然后选上“权限”勾选“拒绝”按确定后会有个提示，然后点确定就可以拉！样本在虚拟机上分析：扫描结果如下:File: 74E14F81.exeSHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764ePackers: UnknownScanner Scanner Version Result Scan TimeArcaVir 1.0.4 Clean 3.07072 secsavast! 3.0.0 Clean 0.00544286 secsAVG Anti Virus 7.5.45 Clean 2.64557 secsBitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secsCATQuickHeal9.00 Clean 4.37579 secsClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secsDr. Web 4.33.0 Clean 8.75147 secsF-PROT 4.6.7 Clean 0.820435 secsF-Secure 1.02 Clean 0.352535 secsH+BEDV AntiVir 2.1.10-37 NULL 5.63827 secsMcAfee Virusscan 5.10.0 Clean 1.74781 secsNOD32 2.51.1 Clean 2.92784 secsNorman Virus Control 5.70.01 Clean 8.4982 secsPanda 9.00.00 Clean 1.31422 secsSophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secsTrend Micro 8.310-1002 Possible_Infostl 0.106758 secsVBA32 3.12.0 Protected File 3.48641 secsVirusBuster 1.3.3 Clean 2.72778 secs打开：AutoRun.inf文件内容如下：[AutoRun]open=74E14F81.exeshell\open=打开(&O)shell\open\Command=74E14F81.exeshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=74E14F81.exe运行此病毒74E14F81.exe 生成文件及注册表变动：C:\Program Files\Common Files\Microsoft Shared\MSInfo\C68BC723.dll在非系统根目录下生成C68BC723.exe可执行文件(隐藏）蔚为壮观的IFEO，稍微有些名气的都挂了：在同样位置的文件还有：CCenter.exeRav.exeRavMonD.exeRavStub.exeRavTask.exerfwcfg.exerfwsrv.exeRsAgent.exeRsaupd.exeruniep.exeSmartUp.exeFileDsty.exeRegClean.exekabaload.exesafelive.exeRas.exeKASMain.exeKASTask.exeKAV32.exeKAVDX.exeKAVStart.exeKISLnchr.exeKMailMon.exeKMFilter.exeKPFW32.exeKPFW32X.exeKPFWSvc.exeKWatch9x.exeKWatch.exeKWatchX.exeTrojanDetector.exeUpLive.EXE.exeKVSrvXP.exeKvDetect.exeKRegEx.exekvol.exekvolself.exekvupload.exekvwsc.exeUIHost.exeIceSword.exeiparmo.exemmsk.exeadam.exeMagicSet.exePFWLiveUpdate.exeSREng.exeWoptiClean.exescan32.exeshcfg32.exemcconsol.exeHijackThis.exemmqczj.exeTrojanwall.exeFTCleanerShell.exeloaddll.exerfwProxy.exeKsLoader.exeKvfwMcl.exeautoruns.exeAppSvc32.execcSvcHst.exeisPwdSvc.exesymlcsvc.exenod32kui.exeavgrssvc.exeRfwMain.exeKAVPFW.exeIparmor.exenod32krn.exePFW.exeRavMon.exeKAVSetup.exeNAVSetup.exeSysSafe.exeQHSET.exezxsweep.exeAvMonitor.exeUmxCfg.exeUmxFwHlp.exeUmxPol.exeUmxAgent.exeUmxAttachment.exeHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess注册表值： Start新的值:类型: REG_DWORD值： 00000004先前值:类型: REG_DWORD值： 00000002HKLM\SYSTEM\CurrentControlSet\Services\wscsvc注册表值： Start新的值:类型: REG_DWORD值： 00000004先前值:类型: REG_DWORD值： 00000003HKLM\SYSTEM\CurrentControlSet\Services\wuauserv注册表值： Start新的值:类型: REG_DWORD值： 00000004先前值:类型: REG_DWORD值： 00000003HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced注册表值： Hidden新的值:类型: REG_DWORD值： 00000002先前值:类型: REG_DWORD值： 00000001HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL注册表值： CheckedValue新的值:类型: REG_DWORD值： 00000000先前值:类型: REG_DWORD值： 00000001HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表值：类型: REG_SZ值：HKCR\CLSID\\InProcServer32注册表值： （默认）类型: REG_SZ值： C:\Program Files\Common Files\Microsoft Shared\MSINFO\C68BC723.dll至于解决方法可参考崔老师的连接：IFEO hijack(映象劫持)使部分程序不可运行的解决方法对这个病毒的清除注意几点：（代表个人意见）1、重启进入安全模式下后所有硬盘操作都要右键打开，切记不要双击打开各个分区！2、进入后要去掉隐藏的系统属性。（这一步要先编辑注册表否则实现不了，病毒已经更改注册表使隐藏的文件选项失效）3、找到隐藏的文件后删除即可！4、手动删除添加的非法 IFEO 劫持项目，重启后即可.

镜像劫持技术

映像劫持的定义

映像劫持（IFEO）是Image File Execution Options，位于注册表[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。

通俗一点来说，就是比如我想运行QQ.exe(记事本），结果运行的却是运行了notepad.exe(记事本），也就是说在这种情况下，QQ程序被notepad给劫持了，即你想运行的程序被另外一个程序代替了。

映像劫持病毒

虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。

但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到你运行某个特定的程序的时候运行，这也抓住了一些用户的心理，一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。

映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值　debugger 内容是：C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。

映像胁持的基本原理

WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后，程序就可以运行！

映像劫持的应用

★禁止某些程序的运行

先看一段代码：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]

"Debugger"="notepad.exe"

使用记事本，把上面这段代码复制到记事本中，并另存为 ABC.reg，双击导入注册表，打开你的QQ看一下效果！

这段代码的作用是双击运行QQ的时候，系统都打开记事本，原因就是QQ被重定向了。如果要让QQ继续运行的话，把notepad.exe改为QQ.exe的绝对路径就可以了。

★偷梁换柱恶作剧

每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩：



Windows Registry Editor Version 5.00

[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

"Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"

将上面的代码在记事本中另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢！

★让病毒迷失自我

同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的！下面就自己试着玩吧！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]

"Debugger"="123.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]

"Debugger"="123.exe"

上面的代码是以金猪报喜病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映像劫持的重定向作用，还是会被系统提示无法找到病毒文件（这里是logo_1.exe和sppoolsv.exe）。是不是很过瘾啊，想不到病毒也有今天！



当然你也可以把病毒程序重定向到你要启动的程序中去，如果你想让QQ开机自启动，你可以把上面的123.exe改为你QQ的安装路径即可，但是前提是这些病毒必须是随系统的启动而启动的。



关于映像劫持的预防，主要通过以下几个方法来实现：



★权限限制法

如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options] ，选中该项，右键——>权限——>高级，将administrator 和 system 用户的权限调低即可（这里只要把写入操作给取消就行了）。

★快刀斩乱麻法

打开注册表编辑器，进入把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项，直接删掉 Image File Execution Options 项即可解决问题。

电脑里的杀毒软件检测到“映像劫持”，要求清楚该项，请问映像劫持是什么？有着怎样的威胁？

所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。 通俗一点来说，就是比如我想运行QQ.exe(记事本），结果运行的却是运行了notepad.exe(记事本），也就是说在这种情况下，QQ程序被notepad给劫持了，即你想运行的程序被另外一个程序代替了。 映像劫持病毒 虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。 但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到你运行某个特定的程序的时候运行，这也抓住了一些用户的心理，一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。 映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值 debugger 内容是：C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。 映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后，程序就可以运行！ 映像劫持的应用 ★禁止某些程序的运行 先看一段代码： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="notepad.exe" 使用记事本，把上面这段代码复制到记事本中，并另存为 ABC.reg，双击导入注册表，打开你的QQ看一下效果！ 这段代码的作用是双击运行QQ的时候，系统都打开记事本，原因就是QQ被重定向了。如果要让QQ继续运行的话，把notepad.exe改为QQ.exe的绝对路径就可以了。 ★偷梁换柱恶作剧 每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩： Windows Registry Editor Version 5.00 [HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" 将上面的代码在记事本中另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢！

映像劫持是什么？

镜像劫持的意义　　在针对杀毒软件方面，OSO病毒还采用了一种新技术，这种技术被成为镜像劫持，通过这种技术也能够将杀毒软件置于死地。
　　所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。镜像劫持的简单解决方法　　如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话，
　　其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。
　　首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

什么叫镜像劫持?为什么病毒和木马能镜像劫持?

　　你好，在Windows系统的注册表中，你会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，这个项其实也是系统启动过程中起着重要作用的启动项，系统默认情况下对该项的权限设置并不严格，只要是管理员组用户，就拥有完全控制的权限。而正是这一特点，也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项，在其下添加与各杀毒软件或安全软件进程名称相关的子项，然后在相关的子项右面窗口中你会发现一个Debugger键值，并且其键值数据指向了病毒文件的路径，这其实就是你看到的镜像劫持，若你所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同，那么你的杀毒软件就无法运行了，但是进程名称若没在木马病毒的名单中，那么这个杀毒软件就可以继续使用并发挥应有的作用。　　万一遭遇这种病毒，你可以先试试腾讯电脑管家，如果可以运行，在“杀毒”选项中点击全盘查杀，这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置，以及硬盘中所有文件进行检测，它毕竟拥有4+1核心杀毒引擎，且使用了CPU虚拟执行技术，能够发现病毒木马并对木马病毒予以根除。万一连电脑管家也无法运行了，你可以在http://dlied6.qq.com/invc/xfspeed/tools/RootkitRemover.exe下载专杀工具来试试，它能够处理包括电脑管家在内的所有杀毒软件无法运行，即遭遇映像劫持的情况。　　如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。

为什么最近很多小说网站都打不开了？都关了吗，以后还能不能打开？

关闭都是一些盗版网站，正规的网站都是一直打开的。盗版是指在未经版权所有人同意或授权的情况下，对其复制的作品、出版物等进行由新制造商制造跟源代码完全一致的复制品、再分发的行为。在绝大多数国家和地区，此行为被定义为侵犯知识产权的违法行为，甚至构成犯罪，会受到所在国家的处罚。盗版出版物通常包括盗版书籍、盗版软件、盗版音像作品以及盗版网络知识产品。盗版，即俗语"D版"。这侵犯法律，购买者无法得到法律的保护。通用网址、域名、网站地址的三者是不同的概念，最基础的是域名。所以，注册一个通用网址，您必须先要注册您的域名，提交给注册服务机构，这样通用网址就可以指向您提供的网站地址。通用网址的访问，普通网民必须要安装CNNIC的客户端插件才能使用。

我的小说网页打不开怎么办

会有很多原因呢，可能是您的网络问题【摘要】我的小说网页打不开怎么办【提问】会有很多原因呢，可能是您的网络问题【回答】我打开其他小说是可以的【提问】你是用什么APP看的呢【回答】百度【提问】那就是这款小说加载出了状况，你退出百度后台，重新打开【回答】我试过了，重新下载了还是一个样[捂脸][捂脸]【提问】是网络延迟或者网站中的小说是盗版的，已经被下架了，操作方法如下：1、首先进入手机百度首页后，点击右下角【我的】，如下图所示。【回答】2、然后在打开的个人中心页面里，点击常用功能下的【小说书架】【回答】3、接着进入百度小说可搜索自己要看的小说，或点击下方的任意一部小说。【回答】4、进入小说详情页，点击封面下方的【加入书架】【回答】5、添加书架完成后，回到百度小说，在书架中就可查看小说【回答】好的谢谢[比心]【提问】

映像劫持是什么

映像劫持是什么1、就是Image File Execution Options（其实应该称为“Image Hijack”。）是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。2、在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。

我的电脑被映像劫持了，请帮忙，谢谢

一. 原理

所谓的映像劫持就是Image File Execution Options（其实应该称之为"Image Hijack"）。它位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options。由于这个项主要是用来调试程序，对一般用户意义不大，默认是只有管理员和local system有权读写修改。

例如:我想运行qq.exe，结果打开的却是360.exe 这种情况下，QQ程序被360给劫持了，也就是说你想运行的程序被另外一个程序替换了。

二. 被劫持

虽然映像劫持是Windows为程序员准备的功能，对一般用户来说没多大用，但是就有一些病毒通过映像劫持来做文章。表面上看起来是运行了一个正常的程序，实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载Windows启动项来运行的，也有一些是注册成为Windows服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce

但是与一般的木马和病毒不同的是，有一些病毒偏偏不通过这些来加载自己，不随着Windows的启动运行。木马病毒的制作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要感觉自己的电脑中了病毒，首先要查看的就是Windows的加载项，很少有人会想到映像劫持，这就是制作者的可恨之处!

病毒主要通过修改注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

项来劫持正常的程序，比如有一个病毒（360.EXE） 要劫持QQ程序，它会在上面注册表的位置新建一个qq.exe项，再在这个项下面新建一个字符串值debugger再把其值设为"C:\Program Files\360.exe" (病毒的绝对路径)。

三. 玩劫持

1.禁止某些程序的运行

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
"debugger"="1.exe"


把上面的代码复制到记事本,另存为1.reg，双击导入注册表，每次双击运行QQ的时候，Windows都会弹出提示框说找不到QQ，原因就QQ被重定向了。如果要让QQ继续运行的话，把1.exe改为其安装目录就可以了。

2.偷梁换柱恶作剧

每次我们同时按下Ctrl+Alt+Del，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符?


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"debugger"="cmd"



将上面的代码复制到记事本,另存为 change.reg，双击导入注册表。同时按下那三个键就能打开“命令提示符”。

3.让病毒彻底残废

同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
"Debugger"="1.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
"Debugger"="1.exe"


上面的代码是以金猪和威金病毒为例，这样即使这些病毒在Windows启动项里面，即使随Windows运行了，但是由于映象劫持的重定向作用，还是会被Windows提示无法找到该文件(这里是logo_1.exe和sppoolsv.exe)。

四. 防劫持

1.权限控制法

打开注册表编辑器，定位到

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ,选中该项，右键单击→权限→高级，取消当前用户（Administrator）和system用户的写入权限即可。


2.赶尽杀绝法

点击「开始」菜单→运行→输入reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f