所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options]处新建一个以一个软件主程序命名的项,例如Rav.exe,sethc.exe。然后再创建一个子键“Debugger="C:WINDOWSsystem32drivers”。
以后只要用户双击 Rav.exe就会运行的病毒文件,类似文件关联的效果.
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options]处新建一个以一个软件主程序命名的项,例如Rav.exe,sethc.exe。然后再创建一个子键“Debugger="C:WINDOWSsystem32drivers”。
以后只要用户双击 Rav.exe就会运行的病毒文件,类似文件关联的效果.