1.能不能介绍一下映像劫持技术得原理
2.xp系统中svchost占用cpu高，劫持如何解决？
3.C:\WINDOWS\SYSTEM32\SVCHOST.EXE

能不能介绍一下映像劫持技术得原理

       windows映像劫持技术（IFEO）

       基本症状：可能有朋友遇到过这样的情况。一个正常的码劫码程序，无论把它放在哪个位置，持代或者是劫持一个程序重新用安装盘修复过，都出现无法运行或者是源意思wheel是源码吗比如运行A却成了执行B，而改名后却可以正常运行的码劫码现象。

       既然我们是持代介绍IFEO技术相关，那我们就先介绍下：

       一，劫持什么是源意思映像胁持（IFEO）？

       所谓的IFEO就是Image File Execution Options

       它是位于注册表的

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

       由于这个项主要是用来调试程序用的，对一般用户意义不大。码劫码默认是持代只有管理员和local system有权读写修改

       先看看常规病毒等怎么修改注册表吧。。劫持

       那些病毒、源意思蠕虫和，码劫码木马等仍然使用众所皆知并且过度使用的注册表键值，如下：

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

       等等。2020微星游戏源码。。。。。。。。。。。。。。

       二，具体使用资料：

       QUOTE:

       下面是更多商业免费源码蓝色寒冰的一段介绍：

       @echo off //关闭命令回显

       echo 此批处理只作技巧介绍，请勿用于非法活动！//显示echo后的文字

       pause //停止

       echo Windows Registry Editor Version 5.>>ssm.reg

       echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg

       echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中

       regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除

       使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe

       QUOTE:

       可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验:

       如上图了，开始-运行-regedit,展开到：

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

       然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成.exe

       选上.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger"

       这一步要做好，然后回车，就可以。。热血神途源码。再双击该键，修改数据数值（其实就是路径）。。

       把它改为 C:\windows\system\CMD.exe

       （PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。。。）

       好了，实验下。~ .

       然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为.exe。。大圣轮回源码工程。

       然后运行之。。。嘿嘿。。出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。。

       一次简单的恶作剧就成咧。。。

       同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径

       SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！

       让病毒迷失自我

       同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。

       WindowsRegistryEditorVersion5.

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe]

       Debugger=.exe

       [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\logo_1.exe]

       Debugger=.exe

       上面的代码是以金猪病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的

       重定向作用，还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。

       三，映像胁持的基本原理：

       QUOTE:

       NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。

       当然，把这些键删除后，程序就可以运行！

       四，映像胁持的具体案例：

       引用JM的jzb版主的一个分析案例：

       QUOTE:

       蔚为壮观的IFEO，稍微有些名气的都挂了：

       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe

       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe

       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe

       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe

       从这个案例，我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！

       试想如果更多病毒，利用于此，将是多么可怕的事情！

       五:如何解决并预防IFEO？

       方法一： 限制法(转自网络搜索)

       它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。

       打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。

       2、快刀斩乱麻法

        打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\，把“ImageFileExecutionOptions”项删除即可。

xp系统中svchost占用cpu高，如何解决？

       这个是系统服务很多程序都会调用svchost.exe，有时病毒也会劫持这个服务，每个服务就有一个svchost.exe进程在运行。你用下面方法查找一下原因试试。

       1，打开任务管理器，在任务管理器菜单中选择“查看”-“选择列”，在“PID（进程标识符）”前面打勾。

       2，在CMD窗口输入“tasklist /svc”（不含引号）回车。

       3，在任务管理器中对照2步骤列出的服务，看哪个占用CPU的svchost.exe进程的PID对应的是哪个服务。

       4，点击“开始”-“运行”，输入services.msc，在列表中找出对应的服务，停止。如是不重要的服务可以禁用它。

       要注意查看停止的服务是否是重要的系统服务，以免影响系统功能

       上面方法如果不行也可以百度一下 svchost占用cpu高 查找一下其他方法。

C:\WINDOWS\SYSTEM\SVCHOST.EXE

       å…ˆå…è®¸ï¼Œç„¶åŽçœ‹çœ‹è´¦æˆ·ã€‚正常的svchost.exe是SYSTEM或者NETWORK SERVICE或者LOCAL SERVICE运行的，如果不是这些而是你的当前账户的话要考虑中毒的可能性。我见过一个U盘病毒劫持svchost.exe的，杀软没杀出来，但是手动杀很容易就清除掉了。如果有问题可以给我发消息。