2

Наткнулся на клиента с сильно зараженным вирусом компьютером.

Один вирус препятствовал запуску всех программ, кроме тех, которые вирус разрешил.

Поиск в Google показал мне, как это можно сделать в отношении программ .exe, но этот вирус также мешал запуску программ .com.

Строго говоря, я не хочу делать это самостоятельно, однако я хочу знать, как этого можно достичь и, как следствие, получить этот нежелательный эффект.

Я предполагаю, что хитрость повлечет за собой изменения в реестре, и, следовательно, можно отменить его, используя regedit для работы на извлеченном жестком диске и подключенном к правильно работающему ПК. Открыл бы нужный файл с помощью команд open hive.

Есть идеи?

Забыл упомянуть, что версия запускаемых окон - Windows Home. Похоже, что для запуска консоли управления групповой политикой нужна профессиональная версия. Или это может быть достигнуто косвенно через реестр в любом случае, и если да, то как?

|источник

2 ответа2

2

Политики ограниченного использования программ - это способ достичь этого: вы можете определить политику, которая разрешает определенные программы и запрещает другие; это, наверное, самый простой способ.

Вы также можете попробовать подключиться к функциям API - проще говоря, каждый раз, когда программа хочет что-то сделать, этот запрос сначала проходит через вашу "ловушку" или обработку программы. Так работают многие вирусы. Прочитайте раздел "Захват API" для ознакомления или зацепите Google CreateProcess (CreateProcess - это функция Windows API, используемая для запуска программ) и перейдите оттуда.

|источник
0

Вирус, вероятно, использовал "политики ограниченного использования программ": http://technet.microsoft.com/en-us/library/bb457006.aspx

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .