镜像劫持,从零教你选用镜像劫持完成禁止使用某一手机软件运作

很有可能大家都遇到过那样的状况，一切正常的程序流程无论放到什么位置，就算是是再次应用修补过的系统软件，会发生改程序流程没法运作及其运作此程序流程偏向此外的一个程序流程那样的状况。实际上帮此程序流程更名后還是能够一切正常运作的，这是由于该系统软件遭受映像劫持。

映写被劫持，便是一部分脚本制作根据加上映写被劫持注册表文件，开展对一些文档的易用性强制性变更的实际操作。超的情况下会造成 一些文档不可以一切正常应用，很有可能您开启特定文档的情况下，他自动式打开了此外的文档。那样的实际操作能够运用于一切实行的文档。从而，一些病毒感染会根据该方法来禁止使用电脑杀毒软件，造成 电脑杀毒软件没法一切正常运作。

1，点一下开始按钮，点一下运作，开启运行窗口，键入regedit。

镜像劫持图详细说明-1

,

镜像劫持实际操作图详细说明-2

2，点一下明确，将打开注册表对话框。

镜像劫持病毒图详细说明-3

3，依照下述途径寻找有关注册表项，实际操作如图所示:

镜像劫持实际操作图详细说明-4

4，将新创建的项重新命名为notepad.exe。随后回车键明确就可以了。

镜像劫持病毒图详细说明-5

5，选定左边的notepad.exe项，在右边随意空白鼠标右键，新创建，字符串数组值。

镜像劫持病毒图详细说明-6

印象胁持图详细说明-7

6，将  新值 #1  改成  Debugger，并回车键。这儿要留意英文大小写。随后双击鼠标Debugger，弹出窗口，在  数值数据  输入框中键入  ntsd -d，点一下  明确。那麼镜像劫持就做完了。

镜像劫持病毒图详细说明-8

7，

这时，大家随意开启一个文本文件看一下会发生什么原因。

能够见到，本来  检测.txt  就在眼皮下边，但是windows便是找不着。无论你开启哪一个文本文件都是会是这一实际效果。

一样，在设定完镜像劫持后，所有人都没法运作相对的程序流程。除非是删除那一个Debugger才行。

镜像劫持实际操作图详细说明-9

8实际上ntsd -d能够换为一切别的标识符。你乃至能够讲起设定为另一个程序流程的途径。大家以系统软件内置的计算方式为例子。将ntsd -d 改为C:\Windows\System32\calc.exe，再看一下实际效果。

镜像劫持图详细说明-10