学步园

(1) 映像劫持:

机子中了病毒 MsSvcHost64.exe , 该病毒利用了映像劫持. 后来装了杀毒软件把 MsSvcHost64.exe 删除后
出现了 ctfcom.exe 不能启动的情况，检查后才发现中招了. 这里的 ctfmon.exe 是自动启动,从而病毒自动运行。
作用是: 当运行 ctfmon.exe 时,  MsSvcHost64.exe 总先一步启动执行,达到自动运行的目的.

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ctfmon.exe]
"Debugger"="C://WINDOWS//inf//MsSvcHost64.exe"

(2)DLL 加载:
这是从一个文件加密软件中得到的。
看过 《windows 核心编程》的同志们一定记得: 凡是在该注册表键下指定的 DLL 要被所有用户程序加载, 和主进程位于同以进程空间中.
 . 这个做法可以为 virus 利用来 Hook API
 . 可以达到自动启动的目的

在用 OD 调试程序时无意间发现的: 每个被调试程序的地址空间中都存在模块 docsafe.dll 映像。
搜索注册表后发现位 docsafe.dll 于下面键值下. 可以考虑在软件中利用这点. 
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows]
"AppInit_DLLs"="D://WINDOWS//system32//docsafe.dll"