通过映像劫持实现Notepad2替换记事本

创建如下注册表项:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

如果无法修改,需要先右键取得权限;

在notepad.exe注册表项中,创建名为Debugger的字符串值(REG_SZ);

修改字符串值Debugger的数据为Notepad2.exe的完整路径,最后以 /z参数结尾。

如:

"C:\Program Files\Notepad2.exe" /z

或直接创建如下注册表文件,然后导入:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"Debugger"="\"C:\\Program Files\\Notepad2.exe\" /z"

Notepad2原版:http://www.flos-freeware.ch/notepad2.html

Notepad2-mod:http://code.google.com/p/notepad2-mod/

Replacing Windows Notepad with Notepad2:

http://www.flos-freeware.ch/doc/notepad2-Replacement.html

时间: 2024-10-17 01:11:37

通过映像劫持实现Notepad2替换记事本的相关文章

利用映像劫持替换记事本

Image File Execution Options就是映像劫持技术,通过此种方式替换记事本,非常地绿色环保. Image File Execution Options是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果 存在这个参数的话,就运行这个参数中指定的程序,好像是程序调试之用,具体可以见这里. 原理:通过修改 Image File Execution Options 键值后,在有 notepad.exe

映像劫持

因使用电脑不当,这周电脑默默地不知道中了什么毒.每当电脑进入“是否允许该应用更改计算机”时就会发生黑屏然后死机,打开杀毒软件一查,发现问题是一个叫做“映像劫持项出现异常,部分软件不能正常使用”的什么鬼.于是乎我就上网百度了一下什么是映像劫持和解决方法,可是,呵呵,并没有用...... 映像劫持 就是Image File Execution Options(其实应该称为“Image Hijack”.)是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定.由于这个项主要是用来调试

C#实现映像劫持

“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定.当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等.出于简化原因,IFEO使用忽略路径的方式来匹配

映像劫持技术(1):简单介绍

映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向.这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,右键,新建项,将其重命名为notepad.exe.在右边空白处点击右键,新建”字符串值“,将其重命名为”Debugg

如何手动清除那些映像劫持技术的病毒

在用电脑的过程中,经常会遇到一些病毒,那么怎么样才能彻底查杀电脑中的木马病毒呢?安全防御教你如何查杀映像劫持技术的病毒. 解决步骤 分别对将icesword和Sreng主程序改名后运行,此时,那个象记事本的病毒程序已经打开近百个对话框,系统变得很慢.在WINXP的任务栏选中这一组窗口,关闭掉,先抢占一些系统资源再说. 然后,双击U盘上的ProcessExplorer,一眼看到有记事本图标的三个进程,尝试结束其中一个,发现结束后,程序会立即重新启动.看来,直接KILL进程是不行的.结束不行,就用下

映像劫持IFEO

类似标签:映像劫持.(Image File Execution Options).“Image Hijact" "如果我想在双击程序‘notepad.exe' 程序时,系统执行的确是 'cmd.exe' ,该怎么实现?” 我们应该先探索一下 当我们点击了 'notepad.exe'时,发生了什么:我们双击了'notepad.exe',系统判断'notepad.exe'是一个可执行体,然后为程序申请内存空间/加载程序/执行程序. 不对,其实在为程序申请内存空间之前,系统还对'notepa

常规鼠标键盘钩子.映像劫持.开机自启动

using System;using System.Collections.Generic;using System.IO;using System.Windows.Forms;using System.Runtime.InteropServices;using System.Reflection; namespace HookTest{ /* 注意: 如果运行中出现SetWindowsHookEx的返回值为0,这是因为.net 调试模式的问题,具体的做法是禁用宿主进程,在 Visual Stu

映像劫持技术(2):实例

在Image File Execution Options下创建cmd.exe项,将其“重定向”到我们自己编写的程序 1 #include<stdio.h> 2 #include<windows.h> 3 4 int main() 5 { 6 HKEY hKey; 7 DWORD dwDisposition=REG_CREATED_NEW_KEY; //新建一个子项 8 if((::RegCreateKeyEx(HKEY_LOCAL_MACHINE, 9 "SOFTWAR

替换Windows系统自带记事本

Windows自带的记事本打开一些简单的短小文本不错,但自带的这个记事本相应的也很残.比如查找替换功能,比如编码格式兼容问题- 为了使记事本使用更方便,我们有不少替代方案,比如 notepad2,notepad++,ultraedit- 个人比较喜欢notepad2-mod,替换分两种,一种直接改名为notepad.exe替换文件,另一种则是使用映像劫持,将名称为notepad.exe的进程劫持到我们指定的程序,以此实现启动记事本时打开我们要的notepad2.exe. 替换文件 Windows