IFEO注入（映像劫持）介绍

IFEO（Image File Execution Options）位于Windows注册表中的路径为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

IFEO最初设计用于为在默认系统环境下可能出现错误的程序提供特殊的调试和执行环境。通过IFEO，开发人员可以将调试器附加到应用程序上，从而在应用程序启动时执行特定的调试操作。

打开注册表编辑器的快捷键是 Win + R，然后在运行框中输入 regedit，接着按下 Enter 键即可打开注册表编辑器 

 

一、Debugger键值

        当用户启动一个程序时，系统会在IFEO注册表路径下查找与该程序名称对应的子键。如果找到匹配的子键，并且存在Debugger键值，则系统会使用该键值指定的程序路径来替代原始程序路径，从而实现映像劫持。

通过修改注册表中的"Dubugger"值，可以创建一种称为粘滞健后门的机制。这种后门会在目标程序启动时自动启动并附加指定的调试器程序，从而允许执行