用注冊表映像劫持巧治病毒

　　現在病毒都會采用IFO的技術，通俗的講法是映像劫持，利用的是注冊表中的如下鍵值：

　　HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置來改變程序調用的，而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。事物都有其兩面性，其實，我們也可以利用該鍵值來欺瞞病毒木馬，讓它實效。可謂，將計就計，還治其人。

　　下面我們以屏蔽某未知病毒KAVSVC.EXE為例，操作方法如下：

　　第一步：先建立以下一文本文件，輸入以下內容：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼KAVSVC.EXE]
　　”Debugger”=”d：＼＼1.exe”
　　[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼KAVSVC.EXE]
　　”Debugger”=”d：＼＼1.exe”

　　（注：第一行代碼下有空行。）

　　第二步：將以上文本另存為1.reg，雙擊1.reg以導入該reg文件，確定。

　　第三步：點“開始→運行”後，輸入KAVSVC.EXE。

　　提示：1.exe可以是任意無用的文件，是我們隨意創建一個文本文件後將後綴名.txt改為.exe的。