私は Windows 7 マシンを使用しています。最近、次のようなアプリケーションを見つけました:
a.exeインストール前に持っていました。アプリケーションは私のコンピュータにインストールされます。また、私が実行するたびに、代わりに実行されるb.exeように設定されます。また、これが起こるときに正確に実行していることを確信しています。さらに、有効な名前を変更するa.exeb.exea.exeEXEファイルを任意の場所にコピーしてa.exe実行すると、 が実行されますb.exe。無効な場合はEXEファイル(テキスト ファイルなど)の場合、この手順を実行するとエラーが発生します。
私の質問は、どうすればこれが可能なのかということです。また、これはかなり大きなセキュリティリスクではないでしょうか。また、私は Windows 7 を実行しています。
答え1
実行ファイルは「イメージ ファイル実行オプション」によって乗っ取られています
画像ファイル実行オプションは、ユーザーが実際に起動した実行ファイルの代わりに別のプログラムを強制的に実行できるWindowsの機能です。これは、たとえば、プログラムの起動前にバッチファイルを実行するb.exe、そのプログラムがどのように実行されるかに関係なく。ただし、Windows では、が実行されたときに開始される理由について説明がないため、機能が使用されていることに気付かないと問題が発生する可能性がありますa.exe。
幸いなことに、この機能の管理は難しくありません。すべてのプログラム「インターセプト」は、次のレジストリで見つかります。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
子キーは、起動がリダイレクトされる実行可能ファイルの名前が付けられます。デフォルトでは、ここにはそのままにしておくべきキーが多数あります。実行可能ファイルの名前に一致するキーを検索しa.exe、そのキーに という名前の値が含まれていることを確認します。この値は、 の代わりに起動される実行可能Debuggerファイルを指定します。b.exea.exe
不要な動作を停止するには、デバッガの値を削除するか、a.exeキー全体を削除します。