大部分的病毒和木馬都是通過加載系統啟動項來運行的,也有一些是注冊成為系統服務來啟動,他們主要通過修改注冊表來實現這個目的,主要有以下幾個鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce
但是與一般的木馬,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統的啟動運行。木馬病毒的作者抓住了一些用戶的心理,等到用
戶運行某個特定的程序的時候它才運行。因為一般的用戶,只要發覺自己的機子中了病毒,首先要察看的就是系統的加載項,很少有人會想到映像劫持,這也是這種病毒高明的地方。
映像劫持病毒主要通過修改注冊表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
項來劫持正常的程序,比如有一個病毒 vires.exe 要劫持qq程序,它會在上面注冊表的位置新建一個qq.exe項,再在這個項下面新建一個字符串的鍵 debugger把其值改為C:\WINDOWS\SYSTEM32\VIRES.EXE(這里是病毒藏身的目錄)即可。