Estoy ejecutando una máquina con Windows 7. Recientemente encontré una aplicación que hacía esto:
Tenía a.exeantes de la instalación. La aplicación se instala b.exeen mi computadora. También configura las cosas para que cada vez que ejecute a.exe, b.exese ejecute en su lugar. También estoy seguro de que estoy ejecutando exactamente a.execuando esto suceda. Además, cambiar el nombre de cualquier válidoexearchivo en cualquier ubicación a.exey ejecutarlo dará como resultado la ejecución de b.exe. Por inválidoexearchivos (por ejemplo, archivos de texto), este procedimiento generará un error.
Mi pregunta es, ¿cómo es posible hacer esto? ¿Y no supone un riesgo de seguridad bastante grande? También estoy ejecutando Windows 7.
Respuesta1
Su ejecutable está siendo secuestrado por las "Opciones de ejecución de archivos de imagen"
Opciones de ejecución de archivos de imagenes una característica de Windows que le permite forzar la ejecución de un programa diferente en lugar del ejecutable real iniciado por el usuario. Esto es útil, por ejemplo, si deseaejecutar un archivo por lotes antes de que se inicie un programa, independientemente de cómo se ejecute ese programa. Pero puede causar problemas cuando no sabes que se está utilizando la función, ya que Windows no explica por qué b.exese inicia y cuándo a.exese ejecutó.
Afortunadamente, gestionar esta función no es difícil. Encontrará todos los programas "interceptados" en el Registro aquí:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Las claves secundarias reciben el nombre del ejecutable al que se redirigirá su inicio. Hay muchas claves aquí de forma predeterminada que deben dejarse como están. Simplemente busque una clave que coincida con el nombre de su ejecutable a.exey luego confirme que esa clave contiene un valor llamado Debugger. Este valor especifica el b.exeejecutable que se iniciará en lugar de a.exe.
Para detener el comportamiento no deseado, elimine el valor del depurador o toda la clave a.exe