Ich habe nach einer Erklärung für diesen nicht dokumentierten Registrierungsschlüssel gesucht, konnte jedoch nur einen Hinweis auf die Übernahme des Besitzes oder die Ausführung als Administrator finden, ohne wirklich zu erklären, wofür dieser bestimmte Registrierungswert (nicht Schlüssel) gedacht ist.
Ich habe auch diesen Link gefunden, der Folgendes nahelegt:
HKEY_CURRENT_USER\Software\Classes.exe\ shell\open\command |
hat mit Spyware zu tun. Stimmt das? Und wenn ja, wie?
Irgendeine Idee, was es mit diesem „IsolatedCommand“-Wert auf sich hat und warum Microsoft einen Registrierungswert erstellen würde, der Spyware helfen würde?
Antwort1
Was Sie sehen, ist offensichtlich ein Symptom derWin32/FakeRean. Knapp,
Win32/FakeRean ist eine Familie von Programmen, die angeblich nach Malware suchen und falsche Warnungen vor schädlichen Dateien anzeigen. Anschließend informieren sie den Benutzer, dass er für die Registrierung der Software Geld bezahlen muss, um diese nicht vorhandenen Bedrohungen zu entfernen.
Wenn Windows versucht zu bestimmen, was mit Dateien eines bestimmten Typs geschehen soll, sucht es im Allgemeinen im HKLMZweig der Registrierung nach einem Eintrag für den gewünschten Typ. Wenn Sie jedoch schon einmal Software installiert haben, die gefragt hat, ob sie nur für Sie oder für alle Benutzer des Computers verfügbar sein soll, haben Sie eine in Windows integrierte Funktion gesehen. Wenn Sie „Jeder“ sagen, werden die Registrierungseinträge im Allgemeinen in den HKLMHive geschrieben. Wenn Sie „nur Sie“ sagen, gehen diese Einträge im Allgemeinen in den HKCUHive. Dabei Win32/FakeReanwerden Einträge in den HKCUHive geschrieben, die Vorrang vor denen im haben HKLM. Bei ausführbaren Dateien kann das schlecht sein.
Leider kann ich keine Dokumentation für den IsolatedCommandSchlüssel finden (ich habe sowohl TechNet als auch MSDN konsultiert), aber anhand des Namens würde ich vermuten, dass er steuert, wie ein Prozess erstellt wird. Ichdürfensagen Sie, dass esIstim HKLMBienenstock normal und erforderlich.
Antwort2
Als ich nach der gleichen Frage gesucht habe, bin ich auf Folgendes gestoßen:
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
Ändern Sie unter Befehl den Standardwert in "%1" %*, genau wie in HKLM, und fügen Sie einen neuen String-Wert namens 'Isolierter Befehl' mit dem gleichen Wert wie Standard. Mit diesen Einstellungen hat sich am System oder dessen Betrieb kaum etwas geändert.
> Wenn wir jedoch die Zeichenfolge „IsolatedCommand“ in „notepad.exe“ ändern und versuchen, auf diesem System mit einer beliebigen Binärdatei „Als Administrator ausführen“ zu lassen, was passiert dann raten Sie mal? Notepad! (Als Administrator). w00t.
Antwort3
Der IsolatedCommandfolgende Wert HKLM\Software\Classes\exefile\shell\RUNAS\command\wurde verwendet, um den Befehl bereitzustellen, der ausgeführt wird, wenn Sie Run as Administratorunter Windows 10 bis Build 17025 auswählen.
Auf einem ungepatchten Rechner ließ sich UAC umgehen, indem man den IsolatedCommandEintrag in HKCU erstellte, allerdings mit anderen Wertdaten, etwa cmd.exeund dann ausführte sdclt.exe /kickoffelev. Als dieser Exploit nach Build 17025 gepatcht wurde, IsolatedCommandblieb der Wert bestehen, aber Run as Administratordann wurde der Wert aus dem (Default)Schlüssel verwendet.
Der Rest IsolatedCommandscheint keinen Zweck mehr zu erfüllen.
Der IsolatedCommandWert darunter HKLM\Software\Classes\exefile\shell\OPEN\command\scheint nie irgendeinem Zweck gedient zu haben.