镜像劫持

镜像劫持是什么意思？
 
镜像劫持这个词，总是和病毒木马有关系. 所谓的镜像劫持，就是通过修改注册表的方式，使在启动某些程序时，另一个程序却启动了，本应该启动的程序却没有成功启动。
比如有时要打开一个exe文件，但点击运行时却打开了其它的文件或运行了木马。

原理：运行程序的第一步是按名称找到程序文件，但是WinXP可以通过注册表把程序名称映射到另一个文件去，就是镜像。基本上是木马修改文件镜像指向木马程序，这就叫劫持。
镜像劫持通常被黑客用来使杀毒软件被屏蔽，达到将攻击电脑变为肉鸡的效果。
 
通常的劫持对象：taskmgr.exe  regedit.exe  msconfig.exe  cmd.exe 这几个工具程序是通常的劫持对象，启动的时候其实是先运行木马然后木马再帮你调用这些程序。

举个例子：
修改注册表项镜像劫持QQ医生。
 
方法如下:
1、在注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，QQDoctor.exe。
2、再创建一个子键“Debugger="C:\\windows\\system32\\notepad.exe"”(路径为病毒路径，即你要运行的木马文件路径)。
3、只要用户双击 QQDoctor.exe就会运行C:\\windows\\system32下的notepad.exe，类似病毒关联的效果。

解决方法：镜像劫持是很容易对付，劫持仅对默认名称有效，改文件名就避开了，比如qqdoctor.exe改为qqdoctor1.exe，再运行qqdoctor1.exe就不会打开木马文件，而打开正常的qqdoctor了。