大量《暴风影音》和《千千静听》的皮肤下载：http://www56789v.blog.163.com/blog/

例1：

例1：

朋友电脑使用一直正常，弄了个新硬盘后非常高兴，马上打开机箱接入，想作为从盘使用，安装完毕后开机进入bios，显示硬盘已经被正确识别到了。但是进入xp后，却找不到新硬盘，设备管理器里面也没有哇！？

重新检查数据线、检查bios设置都没发现问题，当时头都大了，朋友也烦了，打算重装系统，这时突然想到ide通道可能做过优化，马上检查，果然空闲通道设置为“无”了，重新设置为“自动检测”后重启系统，哦哦找到了新硬件……设备已安装完成，进入设备管理器，已经出现新硬盘了，然后分区格式化ok了！

看来以后在安装新硬盘前，别忘了先检查一下ide通道属性吧，以免走了弯路。

例2：

给朋友看电脑清理完灰尘后，发现硬盘安装在ide2接口，光驱接在ide1口，遂换了一下，之后开机在xp进度条过后，屏幕突然蓝屏！开始以为是清理灰尘时引起接触不良，便拔下内存条，清理金手指，完毕，开机咋还是蓝屏？又换了内存条插槽，还是如此。检查硬盘数据线以及其他，都没发现问题，进入安全模式还是蓝屏！将ide数据线恢复原来接口，开机系统则能正常进入，晕倒！难道ide接口出了问题？忽然想起前面的例子，马上进入设备管理器，检查所有“次要”和“主要ide通道”属性，果然又是经过优化过的，然后将所有的“无”都改为“自动检测”，关机，再次将硬盘安装到ide1接口，光驱在ide2接口上，开机，这次系统顺利进入，然后重新优化了一下ok了。

又是ide通道引起的，这次还蓝屏了！以后还是要多注意了！

用nlte整合补丁，是用直接替换文件的方法，所以不会像番茄花园系统盘那样会在安装过程中安装补丁，既耽误很多时间而且会产生临时文件，不过很遗憾是使用nlite必须关掉文件保护功能，关闭之后dllcache文件夹就是空白的了，这个我试过很多次不关闭的话会会经常提示文件被替换，这是唯一让人感到遗憾的。

这张盘目前已经安装多台电脑，使用非常满意！

1 光盘引导显示的3秒logo画面：

2 多引导画面：

3 安装过程：

4 系统中的光盘自动播放：

5 提供了大量维护工具以及实用工具软件：

6 电脑属性（动态）和增强型任务管理器：

7 XUSBOOT DOS 功能非常强大：

为什么有人说我中毒了，连杀毒软件也不能用，（杀软也不是万能的，呵呵）到底为什么会这样，那是病毒的制造者利用映像胁持（IFEO）的技术。

一，什么是映像胁持（IFEO）？

所谓的IFEO就是Image File Execution Options
在是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改
先看看常规病毒等怎么修改注册表吧。。那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下： 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
等等。。。。。。。

二，具体使用资料：

下面是一段介绍：
@echo off  //关闭命令回显
echo 此批处理只作技巧介绍，请勿用于非法活动！//显示echo后的文字
pause  //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg  //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg  //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe
QUOTE:
可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来做个试验:

如上图了，开始-运行-regedit,展开到： 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 
然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe

选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger"   
这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。。
把它改为 C:\windows\system32\CMD.exe
（PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。。。）
好了，实验下。~ . 
然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。。。 
然后运行之。。。嘿嘿。。出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。。
一次简单的恶作剧就成咧。。。 
同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径
SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！

三，映像胁持的基本原理：　

NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。  
当然，把这些键删除后，程序就可以运行！

四，映像胁持的具体案例：

引用一个分析案例：
蔚为壮观的IFEO，几乎所有稍为有些名气的杀毒软件和杀辅助软件都挂了：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe .......

我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！
试想如果更多病毒，利用于此，将是多么可怕的事情！

五:如何解决并预防IFEO？

方法一：  限制法

此方法经测试非常有效，即使中毒了，辅助工具仍然能运行，如SREng,这样的就方便清除病毒，所以强烈推荐一般用户操作一次 
它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。 
开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）
然后还是展开到： )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 

右键——选择权限,把权限改为拒绝即可.
方法二:
把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下面除了Your Image File Name Here without a path以外的所有项删除即可。
方法三:
使用IFEO映像挟持修复程序修复！（该方法是用于中毒修复，不能作防范）。

瘦猴补充：IFEO修复工具可以到我的另一篇文章《搜索病毒ie自动关闭，vs病毒全过程》里面下载。