Тестовая среда:
- Windows 10 профессиональная версия x64, True
- Windows Server 2003 R2 x86, False
- Windows Server 2008 R2 Enterprise x64, False
- Windows Server 2008 R2 DataCenter x64, True
Есть 2(или 3 зависит от x86 или x64) notepad.exe в Windows\, соответственно Windows\notepad.exe; Windows\System32\notepad.exe; Windows\SysWOW64\notepad.exe. В упомянутых средах, помеченных как True, все эти три демонстрируют это поведение ниже.
Поведение:
когда я копирую notepad.exe (в любое место), скопированный исполняемый файл не запускается при выполнении, независимо от того, где я его положил. нет предупреждения, нет создаваемого процесса. Для этого я проверил несколько настроек:
- разрешение файла.
- разрешение файла выглядит нормально, т.е. установлено разрешение на выполнение.
- владение файлом.
- на самом деле это не имеет значения, но на всякий случай я проверил, что владельцем исходного блокнота является "TrustedInstaller", владельцем скопированного исполняемого файла является "Группа администраторов", также не помогло предоставление права собственности на TrustedInstaller.
- Политика ограниченного использования программ и политика AppLocker
- в моей системе нет таких политик, когда я использую gpedit.msc для их проверки. (Я думал о скрытых настройках по умолчанию, но эта теория не будет верна, поскольку, похоже, она не подходит для других исполняемых файлов в System32, таких как calc.exe/cmd.exe и т.д.)
Другие Поведения:
Я попытался запустить скопированный исполняемый файл с помощью cmd/powershell/start, но безрезультатно.
Я попытался скопировать cmd.exe/calc.exe/ другие исполняемые файлы в System32/ другие случайные исполняемые файлы, которые у меня есть / в system32/, только notepad.exe, кажется, показывает это поведение.
Я попытался перехватить оригинальный файл notepad.exe и переименовать его в notepad2.exe, затем он не запустится, если вы измените имя обратно на notepad.exe, он запустится снова.
Вопрос:
Интересно, какой механизм это делает?