|
Windows XP使用被叫做“图形文件执行选项”的注册表键值来使你设定特定操作的性能。 通过这一键值,多数选项都是有效的,这包括了核心水平的功能,程序员通常使用它来检测存储漏洞和大量问题。这并不需要多少创造性的工作,然而,却可能是相当高级的方法来从根本上阻止某些特定程序的运行。 这个注册表键值是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\。 打开注册表看一看。你可能会看到其中有很多已经存在的替换键值,每一个替换键值都包含着一个可以执行图形的名字。每一个替换键值中也包含一个或更多用来管理程序运行方式的值。 在这些值当中,我们最感兴趣的是一串被叫做调试器的值,它允许一个特定的调试器在应用程序启动的时候就终止它。Windows XP中内置带命令行的调试器,被叫做ntsd。如果有人运行,ntsd可以被用作一种立即终止应用程序运行的方法。
为了阻止一个应用程序,首先把新的替换键值添加到图像文件执行选项中,并在你不想运行的可执行程序后对其命名。这包括文件的扩展名,但是不包括路径——只是对名字和可执行程序本身命名。(其他列在那里的替换键值可以作为引导你完成这一工作的例子。) 在新键值中,创建一串值并命名为Debugger(调试器);把调试器的值设为:ntsd – (ntsd --,由一个空格,两个破折号构成。) 这会使调试器附着在应用程序中,并能够立即退出。 请记住,普通用户是不允许修改注册表的,否则他们会很容易把注册表搞得混乱不堪。这个窍门也可以用于登录上网脚本、一种策略或者是系统图像中的一部分,以提前阻止一些“著名的有害程序”。(在理论上,通过同样的方式也可以阻止正常程序运行,所以还可以用于制作攻击型病毒程序。) JSI常见问题解答站点中有对这一技术的有趣技巧。他们建立了一种用它来阻止用户的视窗操作系统更新的方式——也就是阻止了wupdmgr.exe这个应用程序的运行。
| 
发表于 2013-2-3 22:09:22
QQ好友和群
收藏
支持
反对