1、在Windows系統的註冊表中,會找到壹個項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,這個項其實也是系統啟動過程中起著重要作用的啟動項;
2、系統默認情況下對該項的權限設置並不嚴格,只要是管理員組用戶,就擁有完全控制的權限。
3、而正是這壹特點,也讓病毒木馬看到了進行鏡像劫持的機會。它們通過改寫該註冊表項,在其下添加與各殺毒軟件或安全軟件進程名稱相關的子項,然後在相關的子項右面窗口中會發現壹個Debugger鍵值,並且其鍵值數據指向了病毒文件的路徑,這其實就是看到的鏡像劫持,若所安裝的殺毒軟件進程名稱恰恰與被病毒木馬創建過相關子鍵名稱相同,那麽殺毒軟件就無法運行了,但是進程名稱若沒在木馬病毒的名單中,那麽這個殺毒軟件就可以繼續使用並發揮應有的作用。
查殺:萬壹遭遇這種病毒,可以先試試騰訊電腦管家,如果可以運行,在“殺毒”選項中點擊全盤查殺,這時電腦管家將對包括註冊表鏡像劫持位置在內的所有系統關鍵位置,以及硬盤中所有文件進行檢測,它畢竟擁有4+1核心殺毒引擎,且使用了CPU虛擬執行技術,能夠發現病毒木馬並對木馬病毒予以根除。