下面我们就来讲解具体的防范“映像劫持”的方法。

　　第一步：判断你的机器是否被劫持，逐个运行你常用的安全工具，检查是否出现“无法找到文件”或者干脆直接没了反应的，当然，执行结果和预期差别太大的也要被怀疑为劫持。另外只要注册表编辑器regedit.exe、regedt32.exe没有被劫持，那我们直接用它进入“HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”这个注册表项并展开里面的子项列表一个个看下来确认是否出现Debugger参数或其他可能影响程序运行的堆管理参数，便可得知机器是否被劫持。

　　小提示：

　　如果注册表编辑器被劫持了怎么办？直接将regedit.exe改个名就能够再次使用了。

　　第二步：记录好注册表IFEO区Debugger参数下值指向的程序位置，不要试图再执行任何安全工具，首先应该尝试删除受影响的IFEO项，然后刷新注册表看看数据是否马上恢复了，如果马上恢复，则说明后台里有程序正在实时判断和写入IFEO，这时候必须拿出注册表监控工具Regmon或类似工具，设置Filter为你正在尝试删除的安全工具的IFEO项，很快就能发现具体是什么进程在操作注册表了，然后在系统进程列表里将相应进程终止掉。关闭进程后就可以删除对应的注册表键值了。由于没有了映像文件存在，删除工作会很顺利。如果不放心还可以将杀毒软件改名运行查杀下系统硬盘各个目录。

　　这样就可以轻松防范和查杀采取“映像劫持”进行攻击的病毒了。

本文为IT168网络通信频道（http://net.it168.com）原创。转载请注明出处、作者和文章原始地址。