用EmEditor替换掉Windows自带的记事本方法

用EmEditor替换掉Windows自带的记事本方法


前言：EmEditor的功能的确比Windows自带的记事本的功能强悍的不是一星半点，一直想把Windows自带的记事本给替换掉，可是就是没找到方法，看见有人发布了一篇文章，然后用这个灵感，终于将Windows自带的记事本给替换掉了。


下面发布一下原理和方法吧。


提示：此方法可能360等安全软件会扫描到已经替换了的EmEditor为恶意软件什么的，这属于正常，因为您替换了后就更改了Windows的系统文件，360等安全软件扫描的时候自然会报不正常了。


Image File Execution Options就是绿色系统映像劫持技术，这个系统映像劫持技术一般在系统病毒上很常见，所以我们这次用的方法也比较另类，用的原理就是用系统映像劫持技术来实现用EmEditor替换掉Windows自带的记事本，大家一步一步跟着做吧？


Image File Execution Options是CreateProcess函数中的一个功能，即在可执行程序运行时，Windows会先检测对应IFEO中的Debugger值，如果存在这个参数的话，就运行这个参数中指定的程序，好像是程序调试之用，所以我们只要将这个Debugger值改成我们需要替换的EmEditor就OK了。大家明白了吗？


手动方法：


创建如下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe，如果无法修改，需要先右键取得权限；


在notepad.exe注册表项中，创建名为Debugger的字符串值(REG_SZ)；


修改字符串值Debugger的数据为EmEditor.exe的完整路径，最后以 /z参数结尾。
如："E:\ProgramFiles\EmEditor\EmEditor.exe" /z


手动麻烦！！用绿色下面的方法最简单了。




自动方法：
创建一个记事本然后将下面的内容拷贝进去，另存为XX.reg，然后双击导入即可！注意路径要改成你的EmEditor所在的实际路径，最后要空一行：


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"Debugger"="\"E:\\ProgramFiles\\EmEditor\\EmEditor.exe\" /z"