注册表 Image File Execution Options 项的作用及使用办法

最新推荐文章于 2024-07-23 09:28:47 发布

fogeater

最新推荐文章于 2024-07-23 09:28:47 发布

阅读量7.7k

点赞数 1

分类专栏：其他文章标签： file image windows system c user

其他专栏收录该内容

4 篇文章 0 订阅

订阅专栏

　　Image File Execution Options
　　跳转到键值
　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
　　在里面添加一个新键值，使用一个你想欺骗的执行文件的名字，好比notepad.exe
　　
　　注意到在‘Image File Execution Options’键值中已经有一些条目了，这些应用程序和填充大概是一些为了兼容老版本WINDOWS程序的东东。现在给NOTEPAD.EXE键值加入一个新的串值类型的值项，名为‘Debugger’，并且键入其他执行程序的路径作为它的值。
　　所有的东西应该看起来这样：
　　Image File Execution Options
　　|
　　|__NOTEPAD.EXE
　　 Debugger - REG_SZ - C:/WINDOWS/SYSTEM32/CALC.EXE
　　一旦做好了，在NOTEPAD图标上单击（或是txt文件），CALC.EXE被代替执行
　　这儿有一个简单的命令行程序， TEST.C，它可以显示执行时使用的参数。
　　----------------------------------------------------------------------
　　#include "stdio.h"
　　#include "conio.h"
　　int main( int argc, char **argv)
　　{
　　 int count ;
　　 printf( "Number of arguments: %d/n", argc) ;
　　 count = 0 ;
　　 while( count < argc)
　　 {
　　 printf( "Argument %d: %s/n", count, argv[ count]) ;
　　 count++ ;
　　 }
　　 while( !kbhit()) ;
　　 return 0 ;
　　}
　　----------------------------------------------------------------------
　　编译它并将test.exe放在你的根目录，C:/TEST.EXE。现在到注册表的NOTEPAD.EXE键值，修改'Debuuger'让它指向 C:/TEST.EXE
　　在NOTEPAD图标上单击，看有TEST.EXE的输出结果
　　----------------------------------------------------------------------
　　Number of arguments: 2
　　Argument 0: c:/test.exe
　　Argument 1: C:/WINDOWS/system32/notepad.exe
　　----------------------------------------------------------------------
　　正如你所见的，原来程序的路径作为参数被传到了test.exe。
　　现在在你的根目录创建一个README.TXT文件，并单击它。
　　如果NOTEPAD.EXE是你打开.txt文件默认程序，text.exe就会出现，显示如下的信息：
　　----------------------------------------------------------------------
　　Number of arguments: 3
　　Argument 0: c:/test.exe
　　Argument 1: C:/WINDOWS/system32/NOTEPAD.EXE
　　Argument 2: C:/readme.txt
　　----------------------------------------------------------------------
　　现在你可以看见传给NOTEPAD.EXE的参数也出现，作为传给test.exe的参数。
　　注册表的这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写，一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：
　　[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]
　　如果存在，首先会试图读取这个键值：
　　[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]
　　"Debugger"="debug_prog"
　　如果存在，就执行“debug_prog ImageName”。
　　【注册表的这个项本来是来调试程序的，而今却被好多病毒利用，来关联自己，使得在运行其他程序的时候自己被执行，同时也可以让它代替杀软运行，而使得真正的杀软不能运行，但这个却也是很好解决的，当发现自己杀软运行一下没反应的时候就要注意了，很可能刚才你已经运行了一下病毒，如果最快的解决方法是把杀软的运行程序改一下名字，再运行，并到注册表的这里把被替换的项删去】