Image File Execution Options(2)

跳转转到键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在里面添加一个新键值,使用一个你想欺骗的执行 文件的名字,好比notepad.exe

注意到在‘Image File Execution Options’键值中已经有一些条目了,这些应用程序和填充大概是一些为了兼容老版本WINDOWS程序的东东。 现在给NOTEPAD.EXE键值加入一个新的串值类型的值项,名为‘Debugger’,并且键入其他执行程序的路径作为它的值。
所有的东西应 该看起来这样:
Image File Execution Options
|
|__NOTEPAD.EXE
      Debugger - REG_SZ - C:\WINDOWS\SYSTEM32\CALC.EXE
一旦做好了,在NOTEPAD图标上单击(或是txt文 件),CALC.EXE被代替执行
这儿有一个简单的命令行程序, TEST.C, 它可以显示执行时使用的参数。 
----------------------------------------------------------------------
#include "stdio.h"
#include "conio.h"
int main( int argc, char **argv)
{
         int count ;
         printf( "Number of arguments: %d\n", argc) ;
         count = 0 ;
         while( count < argc)
         {
                 printf( "Argument %d: %s\n", count, argv[ count]) ;
                 count++ ;
         }
         while( !kbhit()) ;
         return 0 ;
}
----------------------------------------------------------------------
编 译它并将test.exe放在你的根目录,C:\TEST.EXE。现在到注册表的NOTEPAD.EXE键值,修改‘Debuuger‘让它指向C: \TEST.EXE 
在NOTEPAD图标上单击,看有TEST.EXE的输出结果
----------------------------------------------------------------------
Number of arguments: 2
Argument 0: c:\test.exe
Argument 1: C:\WINDOWS\system32\notepad.exe
----------------------------------------------------------------------
正 如你所见的,原来程序的路径作为参数被传到了test.exe。
现在在你的根目录创建一个README.TXT文件,并单击它。
如果 NOTEPAD.EXE是你打开.txt文件默认程序,text.exe就会出现,显示如下的信息: 
----------------------------------------------------------------------
Number of arguments: 3
Argument 0: c:\test.exe
Argument 1: C:\WINDOWS\system32\NOTEPAD.EXE
Argument 2: C:\readme.txt
----------------------------------------------------------------------
现 在你可以看见传给NOTEPAD.EXE的参数也出现,作为传给test.exe的参数。
注册表的这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写,一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
如果存在,首先会试图读取这个键值:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"
如果存在,就执行“debug_prog ImageName”。
【注册表的这个项本来是来调试程序的,而今却被好多病毒利用,来关联自己,使得在运行其他程 序的时候自己被执行,同时也可以让它代替杀软运行,而使得真正的杀软不能运行,但这个却也是很好解决的,当发现自己杀软运行一下没反应的时候就要注意了, 很可能刚才你已经运行了一下病毒,如果最快的解决方法是把杀软的运行程序改一下名字,再运行,并到注册表的这里把被替换的项删去】

时间: 2024-10-25 18:02:38

Image File Execution Options(2)的相关文章

Image File Execution Options(转)

今天公司的一台计算机无法正常工作送来维修,经简单判断是感染了很多病毒,即使在安全模式下也无法清除:于是将硬盘摘下挂到另外一台机器上,用卡巴斯基对病毒进行了查杀,再次启动计算机后发现很多系统维护程序以及杀毒软件等都无法执行,虽然程序都存在,但一执行系统就显示错误信息说找不到文件,而如果将程序改名再执行就没有问题,百思不得其解.经过对注册表进行查找分析,发现一项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image

JAVA File类 分析(三)

前面两篇与大家一起研究了unix下的文件系统,本篇将和大家一起分析 文件的属性和文件夹. ok,废话不说,先来段代码 #include <stdio.h> #include <sys/types.h> #include <dirent.h> void do_ls(char[]); void main(int ac,char *av[]){ if(ac==1) do_ls("."); else{ while(--ac){ printf("%s

log file sync 事件(转)

log file sync log file sync等待时间发生在redo log从log buffer写入到log file期间. 下面对log file sync做个详细的解释. 何时发生日志写入: 1.commit或者rollback 2.每3秒 3.log buffer 1/3满或者已经有1M的redo数据. 更精确的解释:_LOG_IO_SIZE 大小默认是LOG_BUFFER的1/3,当log buffer中redo数据达到_LOG_IO_SIZE 大小时,发生日志写入. 4.DB

黑马程序员—io之File的合并(SequenceInputStream)与分割

--Java培训.Android培训.iOS培训..Net培训.期待与您交流! -- 1:文件的合并SequenceInputStream(读取多个文件,写入一个文件中) 获取Enumeration有两种方式 1.1:Vector ve=new Vector(); Enumeration enu = ve.elements(); 1.2:List lst=new ArrayList(); Iterator ite =lst.iterator(); 第二种执行效率要高 2:文件的分割(读取一个文件

File I|O(八)

1.I/O:input/output 1.1.java.io.File 表示:文件或者文件夹(目录) File f=new File("文件路径") 注意:相对路径:非web项目的相对路径都是以项目名为起点(src/a.txt)(建议使用)   绝对路径:d:/bin/a.txt(以盘符开头的)(不可取) 2.文件常见方法 boolean flag=f.exists(); //文件是否存在 flag=f.isFile(); //是否是文件 flag=f.isDirectory(); /

JAVA File类 分析(二)

本章開始介绍UNIX文件系统. 文件系统是怎样管理文件的呢?那咱们要先文件的存储介质開始--磁盘 磁盘是计算机系统的一个硬件设备,文件系统为了可以管理磁盘.对其进行了三层抽象(本文全部内容均指UNIX文件系统,windows文件系统有兴趣的同学自行研究!~) 第一层抽象:将一整块磁盘分区 第二层抽象:将磁盘切割为block 第三层抽象:将block 逻辑上划分为四个区域 第三个层次也就是咱们要研究的部分 Unix系统的分区例如以下: 引导块 超级块 i节点表 文件存储区 (1)引导块:0号块.是

IBM规则引擎(ODM)入门系列二:Rule Execution Server(RES)服务安装

今天开始了ODM入门系列之二,在这个系列中我会讲讲规则执行服务的搭建安装,规则集的打包发布以及如何将部署之后的规则集发布为web服务,供其他服务或应用使用. 首先,我们先看一幅图: 这是我画的一张ODM各组件之间关系,其中WEB APP是我们自己的项目或应用,可以通过web服务的形式来调用RES上已经部署的RuleApp包来执行规则. 再来看一张图: (截屏自IBM官网) 这是IBM官网上的一张介绍ODM不同组件如何交互的一张图. 从这两张图都可以看出RES在ODM整个产品中都起着一个非常重要的

MySQL [Warning] Can’t create test file xxx lower-test(转)

add by zhj:修改的数据库的datadir,然后数据库就无法启动了,错误如下 2014-12-11 16:22:57 26309 [Warning] Can't create test file /data/mysql/server2.lower-test 2014-12-11 16:22:57 26309 [Warning] Can't create test file /data/mysql/server2.lower-test 2014-12-11 16:22:57 26309 [

FileOutputStream报错&quot;File not Found&quot; (Android)

问题描述: 使用FileOutputStream,根据文档上看,new FileOutputStream(path),如果path路径下的文件不存在,则自动创建新的文件. 但是在使用过程中, path = Environment.getExternalStorageDirectory().getPath() + "/document/mine/www/te.text"; 此时new一个FileOutputStream,会报“File not found”的异常. 问题分析: 修改pat