私はこの文書化されていないレジストリ キーの説明を探していましたが、見つけたのは所有権の取得や管理者としての実行に関する言及だけで、その特定のレジストリ値 (キーではない) が何のために設計されているのかは実際には説明されていませんでした。
また、次のことを示唆するリンクも見つけました:
HKEY_CURRENT_USER\Software\Classes.exe\ shell\open\command | 分離されたコマンド = ""%1? %*"
スパイウェアに関連している。これは本当ですか? もしそうなら、どのように?
この「IsolatedCommand」値が何であるか、また、なぜ Microsoft がスパイウェアを助けるレジストリ値を作成したのか、ご存知ですか?
答え1
あなたが見ているのは、どうやらWin32/フェイクリアン簡単に言うと、
Win32/FakeRean は、マルウェアをスキャンし、悪意のあるファイルに関する偽の警告を表示するプログラム ファミリです。その後、存在しない脅威を削除するにはソフトウェアを登録するために料金を支払う必要があるとユーザーに通知します。
Windows が特定の種類のファイルをどう処理するかを決定する際、通常はHKLMレジストリのブランチを参照して、目的の種類のエントリを探します。ただし、ソフトウェアをインストールしたときに、自分だけが使用できるようにするか、マシンのすべてのユーザーが使用できるようにするかを尋ねられたことがある場合は、Windows に組み込まれている機能を確認したことになります。「Everyone」と答えると、そのレジストリ エントリは通常ハイブに書き込まれますHKLM。自分だけが使用できるようにすると、それらのエントリは通常ハイブに書き込まれますHKCU。Win32/FakeReanつまり、ハイブにエントリが書き込まれHKCU、ハイブ内のエントリよりも優先されますHKLM。実行可能ファイルの場合、これは問題になる可能性があります。
残念ながら、このキーに関するドキュメントは見つかりませんでしたIsolatedCommand(TechNetとMSDNの両方を参照しました)が、名前から推測すると、プロセスの作成方法を制御するものだと思います。できるそれをあなたに伝えるは巣の中では正常かつ必須ですHKLM。
答え2
同じ質問について検索したときにこれを見つけました:
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
コマンドの下で、HKLMと同じようにデフォルト値を「%1」%*に変更し、'という新しい文字列値を追加します。隔離コマンド' をデフォルトと同じ値に設定します。これらの設定では、システムやその動作にほとんど変化はありません。
> ただし、「IsolatedCommand」文字列を「notepad.exe」に変更し、任意のバイナリを使用してそのシステムで「管理者として実行」しようとすると、何が起こると思いますか? Notepad! (管理者として)。うわっ。
答え3
IsolatedCommand以下の値は、ビルド17025 までの Windows 10 でHKLM\Software\Classes\exefile\shell\RUNAS\command\選択するときに実行されるコマンドを提供するために使用されました。Run as Administrator
パッチが適用されていないマシンでは、IsolatedCommandHKCU にエントリを作成し、異なる値データ ( など) を指定しcmd.exeて を実行して、 UAC を回避できますsdclt.exe /kickoffelev。ビルド 17025 以降にこのエクスプロイトにパッチが適用されると、IsolatedCommand値はそのまま残りましたが、キーRun as Administratorの値が使用されるようになりました(Default)。
残り物はIsolatedCommandもはや何の役にも立たないようです。
IsolatedCommand下記の値は、これHKLM\Software\Classes\exefile\shell\OPEN\command\まで何の役にも立ったことがないようです。