设为首页收藏本站

龙城玩家网论坛-户外求生-文玩鉴赏-太原论坛-山西论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信扫码登录

使用验证码登录

用百度帐号登录

只需两步,快速登录

搜索
查看: 2085|回复: 0
打印 上一主题 下一主题

XP 注册表键值的双重作用

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-3 22:09:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  Windows XP使用被叫做“图形文件执行选项”的注册表键值来使你设定特定操作的性能。
  通过这一键值,多数选项都是有效的,这包括了核心水平的功能,程序员通常使用它来检测存储漏洞和大量问题。这并不需要多少创造性的工作,然而,却可能是相当高级的方法来从根本上阻止某些特定程序的运行。
  这个注册表键值是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\。
  打开注册表看一看。你可能会看到其中有很多已经存在的替换键值,每一个替换键值都包含着一个可以执行图形的名字。每一个替换键值中也包含一个或更多用来管理程序运行方式的值。
  在这些值当中,我们最感兴趣的是一串被叫做调试器的值,它允许一个特定的调试器在应用程序启动的时候就终止它。Windows XP中内置带命令行的调试器,被叫做ntsd。如果有人运行,ntsd可以被用作一种立即终止应用程序运行的方法。
 为了阻止一个应用程序,首先把新的替换键值添加到图像文件执行选项中,并在你不想运行的可执行程序后对其命名。这包括文件的扩展名,但是不包括路径——只是对名字和可执行程序本身命名。(其他列在那里的替换键值可以作为引导你完成这一工作的例子。) 在新键值中,创建一串值并命名为Debugger(调试器);把调试器的值设为:ntsd –    (ntsd --,由一个空格,两个破折号构成。)
  这会使调试器附着在应用程序中,并能够立即退出。
  请记住,普通用户是不允许修改注册表的,否则他们会很容易把注册表搞得混乱不堪。这个窍门也可以用于登录上网脚本、一种策略或者是系统图像中的一部分,以提前阻止一些“著名的有害程序”。(在理论上,通过同样的方式也可以阻止正常程序运行,所以还可以用于制作攻击型病毒程序。)
  JSI常见问题解答站点中有对这一技术的有趣技巧。他们建立了一种用它来阻止用户的视窗操作系统更新的方式——也就是阻止了wupdmgr.exe这个应用程序的运行。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 用百度帐号登录

本版积分规则

小黑屋|手机版|Archiver|龙城玩家网 ( 晋ICP备12002025号-1 )|晋公网安备 14010702070511号   

GMT+8, 2024-11-21 21:06 , Processed in 0.144930 second(s), 21 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表