IFEO注入（映像劫持）介紹

IFEO（Image File Execution Options）位于Windows注冊表中的路徑為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

IFEO最初設計用于為在默認系統環境下可能出現錯誤的程序提供特殊的調試和執行環境。通過IFEO，開發人員可以將調試器附加到應用程序上，從而在應用程序啟動時執行特定的調試操作。

打開注冊表編輯器的快捷鍵是 Win + R，然后在運行框中輸入 regedit，接著按下 Enter 鍵即可打開注冊表編輯器 

 

一、Debugger鍵值

        當用戶啟動一個程序時，系統會在IFEO注冊表路徑下查找與該程序名稱對應的子鍵。如果找到匹配的子鍵，并且存在Debugger鍵值，則系統會使用該鍵值指定的程序路徑來替代原始程序路徑，從而實現映像劫持。

通過修改注冊表中的"Dubugger"值，可以創建一種稱為粘滯健后門的機制。這種后門會在目標程序啟動時自動啟動并附加指定的調試器程序，從而允許執行