6

Я искал объяснения для этого недокументированного ключа реестра, но все, что я мог найти, это какая-то ссылка на то, чтобы стать владельцем или работать от имени администратора, без реального объяснения, для чего предназначено это конкретное значение реестра (не ключа).

Я также нашел эту ссылку, которая предполагает, что:

HKEY_CURRENT_USER\Software\Classes.exe\ shell\ open\ command | IsolatedCommand = ""% 1? % *»

связано со шпионским ПО. Это правда? Если так, то как?

Есть идеи, что означает значение "IsolatedCommand", и почему Microsoft создаст значение реестра, которое поможет шпионским программам?

2 ответа2

2

Я нашел это при поиске примерно того же вопроса:

http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html

Под командой измените значение по умолчанию на «% 1»% * так же, как в HKLM, и добавьте новое строковое значение с именем « IsolatedCommand » с тем же значением, что и по умолчанию. С этими настройками очень мало что изменилось в системе или ее работе.

> Однако, если мы изменим строку «IsolatedCommand» на «notepad.exe» и попытаемся запустить «От имени администратора» в этой системе, используя какое-либо двоичное предположение, что произойдет? Блокнот! (как админ). w00t.

2

То, что вы видите, по-видимому, является симптомом Win32/FakeRean. Коротко говоря,

Win32/FakeRean - это семейство программ, которые утверждают, что сканируют на наличие вредоносных программ и отображают поддельные предупреждения о вредоносных файлах. Затем они информируют пользователя о том, что ему необходимо заплатить деньги за регистрацию программного обеспечения, чтобы устранить эти несуществующие угрозы.

Когда Windows пытается определить, что делать с файлами любого заданного типа, она, как правило, обращается к ветви HKLM в реестре для записи нужного типа. Однако, если вы когда-либо устанавливали программное обеспечение, которое спрашивало, хотите ли вы, чтобы оно было доступно только вам или всем пользователям машины, вы видели функцию, встроенную в Windows. Когда вы говорите «Все», его записи в реестре обычно записываются в куст HKLM . Если вы сказали, что один, эти записи, как правило, идут в улей HKCU . Win32/FakeRean делает записи в кусте HKCU которые имеют приоритет над записями в HKLM . Для исполняемых файлов это может быть плохо.

К сожалению, я не могу найти какую-либо документацию для ключа IsolatedCommand (я обращался как к TechNet, так и к MSDN), но по его названию, я думаю, он контролирует процесс создания процесса. Я могу вам сказать , что это нормально и требуется в улье HKLM

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .