争议话题：是否禁止IFEO列表权限?

　　同时，网上还流传着一个让初级用户看不懂的做法，那就是关闭IFEO列表的写入权限，具体操作如下：

　　?执行32位注册表编辑器regedt32.exe

　　?定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

　　?确保焦点在Image File Execution Options上，选择“安全”—“权限”

　　?将出现的用户列表内所有带有“写入”的权限去掉，确定退出

　　这样一来，任何对IFEO的写入操作都失效了，也就起了免疫效果。这个方法对一般用户而言还是不错的，除非遭遇到一些特殊的需要往里面写入堆管理参数的程序，否则我建议一般用户还是禁止此项，从而杜绝一切IFEO类病毒来袭。

　　而争议正在于此，因为从长计议来看，用户很可能会遇到需要往IFEO列表里写入数据的正常程序，彻底禁止了IFEO的写入可能会导致不可预见的后果，既然如此，我们就采取折中的方法好了，使用HIPS(主机入侵防御系统)的注册表防御体系RD(Registry Defend)，为我们提供一种两者都能兼顾的IFEO管理方法!

　　以SSM为例，首先确保RD体系模块已经开启，然后添加新监视规则，“键路径”指向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，“操作”为“当更改时报警”，记得“包含值”选上，最后把“子键深度最大值”设为“3”，点击确定生成新的监视规则，然后在“规则”主界面里确保“存取”、“删除”、“写入”的操作均为疑问状态，这是表示在相关键值被进行写入操作时弹出消息询问用户，最后点击“应用设定”让规则生效，从此只需开着SSM，映像劫持就离你远去了。

　　五. 千篇一律的结语

　　道高一尺，魔高一丈，当几乎所有可能利用的启动项都被安全工具翻了个遍以后，与安全对立的技术也就不得不往上提高一个档次，于是无论什么歪门邪道的招数，只要能够被利用，哪怕它原意是好的，也会被改写定义，从这次的映像劫持事件可以看出，这个系统远远不如我们想像中那么容易被掌握，尤其对普通用户而言，这次技术的误用简直是他们的灭顶之灾!在安全技术与反安全技术斗争激烈的今天，我们用户越来越有在夹缝中生存的感觉了，当年轻松就可以得到的随便开多少个网页都不会带来一个病毒的日子早已远去，要想在这个疯狂的世界里得以保全，我们只能借助于各种工具的守护，和学习更多本来可以不用接触的安全知识，难道这真的要变成互联网的生存法则吗?

　　=================================

　　后记：

　　发现一个有趣的现象，在百度上搜索映像劫持，会得到一堆结果返回的网页里都有这么一句话：

　　映像劫持原理：

　　Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在。

　　这段话看着是不是莫名其妙?没头没尾的，经过我耐心查找，终于在一个角落找到了原始出处，感谢tombkeeper的撰文(节选)：

　　Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：

　　[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

　　如果存在，首先会试图读取这个键值：

　　[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

　　"Debugger"="debug_prog"

　　如果存在，就执行“debug_prog ImageName”

　　很明显，被流传的“原理”来自tombkeeper的某篇文章中的前一段，或许抄袭者不明白后面接着的注册表键值是什么意思，有什么重要作用，就想当然的截断了，于是，这篇抄袭不完整的断章取义文章经过一传十，十传百的散播途径后，终于成为了铺天盖地的“真理”，也难怪那么多人对IFEO感觉很好奇，因为光看那些大部分文章都是只有这么一段的，不信大家可以找找“IFEO”关键字，看看里面对“原理”的描述，真无语了，哎……