以其之道還施彼身 註冊表映像劫持巧治病毒

【賽迪網-IT技術報道】現在病毒都會採用IFO的技術，通俗的講法是映像劫持，利用的是註冊表中的如下鍵值：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置來改變程序調用的，而病毒卻利用此處將正常的殺毒軟體給偷換成病毒程序。事物都有其兩面性，其實，我們也可以利用該鍵值來欺瞞病毒木馬，讓它實效。可謂，將計就計，還治其人。

下面我們以屏蔽某未知病毒KAVSVC.EXE為例，操作方法如下：

第一步：先建立以下一文本文件，輸入以下內容：

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSVC.EXE]"Debugger"="d：//1.exe"[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSVC.EXE]"Debugger"="d：//1.exe"（註：第一行代碼下有空行。）

第二步：將以上文本另存為1.reg，雙擊1.reg以導入該reg文件，確定。

第三步：點"開始→運行"後，輸入KAVSVC.EXE。

提示：1.exe可以是任意無用的文件，是我們隨意創建一個文本文件後將後綴名.txt改為.exe的。

(