Image File Execution Options就是映像劫持技术,通过此种方式替换记事本,非常地绿色环保。
Image File Execution Options是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果存在这个参数的话,就运行这个参数中指定的程序,好像是程序调试之用.
步骤:
- 创建如下注册表项:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options otepad.exe,如果无法修改,需要先右键取得权限;
- 在notepad.exe注册表项中,创建名为Debugger的字符串值(REG_SZ);
- 修改字符串值Debugger的数据为Notepad2.exe的完整路径,最后以 /z参数结尾。
如:"H:program files otepad2Notepad2.exe" /z - ==========================================
-
或直接创建如下注册表文件,然后导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options otepad.exe]
"Debugger"=""H:\program files\notepad2\Notepad2.exe" /z"