이 문서화되지 않은 레지스트리 키에 대한 설명을 검색했지만 찾을 수 있는 것은 해당 특정 레지스트리 값(키가 아님)이 무엇을 위해 설계된 것인지 실제로 설명하지 않고 소유권을 얻거나 관리자로 실행하는 것에 대한 참조뿐이었습니다.
또한 다음을 제안하는 이 링크를 찾았습니다.
HKEY_CURRENT_USER\Software\Classes.exe\ 쉘\열기\명령 | 격리된 명령 = ""%1? %*"
스파이웨어와 관련이 있습니다. 이것이 사실입니까? 그렇다면 어떻게?
이 "IsolatedCommand" 값이 무엇인지, Microsoft가 스파이웨어에 도움이 되는 레지스트리 값을 만드는 이유는 무엇입니까?
답변1
당신이 보고 있는 것은 분명히 다음과 같은 증상입니다.Win32/FakeRean. 간단히,
Win32/FakeRean은 맬웨어를 검사하고 악성 파일에 대한 가짜 경고를 표시한다고 주장하는 프로그램 제품군입니다. 그런 다음 존재하지 않는 위협을 제거하려면 소프트웨어를 등록하기 위해 돈을 지불해야 한다고 사용자에게 알립니다.
Windows는 특정 유형의 파일을 어떻게 처리할지 결정하려고 할 때 일반적으로 HKLM레지스트리 분기에서 원하는 유형의 항목을 참조합니다. 그러나 혼자 사용할 것인지, 아니면 컴퓨터의 모든 사용자가 사용할 것인지 묻는 소프트웨어를 설치한 적이 있다면 Windows에 내장된 기능을 본 적이 있을 것입니다. "모두"라고 말하면 해당 레지스트리 항목은 일반적으로 HKLM하이브에 기록됩니다. 혼자라고 말하면 해당 항목은 일반적으로 HKCU벌집으로 이동합니다. 하고 Win32/FakeRean있는 일은 HKCU. HKLM실행 파일의 경우 이는 좋지 않을 수 있습니다.
불행하게도 키에 대한 문서를 찾을 수 없지만 IsolatedCommand(TechNet과 MSDN을 모두 참조했습니다) 이름을 보면 키가 프로세스 생성 방법을 제어하는 것으로 추측됩니다. 나~할 수 있다그걸 말해봐~이다정상이며 HKLM벌통에 필요합니다.
답변2
같은 질문으로 검색하다가 이런 내용을 발견했습니다.
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
명령에서 HKLM과 마찬가지로 기본값을 "%1" %*로 변경하고 '라는 새 문자열 값을 추가합니다.격리된 명령' 기본값과 동일한 값을 사용합니다. 이러한 설정을 사용하면 시스템이나 작동이 거의 변경되지 않습니다.
> 그러나 'IsolatedCommand' 문자열을 'notepad.exe'로 변경하고 바이너리 추측을 사용하여 해당 시스템에서 '관리자 권한으로 실행'을 시도하면 어떻게 될까요? 메모장! (관리자로서). W00t.
답변3
IsolatedCommand아래 값 은 Windows 10에서 빌드 17025까지 HKLM\Software\Classes\exefile\shell\RUNAS\command\선택할 때 실행되는 명령을 제공하는 데 사용되었습니다 .Run as Administrator
패치가 적용되지 않은 시스템에서는 IsolatedCommandHKCU에 항목을 생성하고 와 같은 다른 값 데이터를 사용 cmd.exe하여 UAC를 우회할 수 있습니다 sdclt.exe /kickoffelev. 이 익스플로잇이 빌드 17025 이후에 패치되었을 때 IsolatedCommand값은 그대로 유지되었으나 키 Run as Administrator의 값을 사용했습니다 (Default).
남은 음식은 IsolatedCommand더 이상 어떤 용도로도 사용되지 않는 것 같습니다.
IsolatedCommand아래 값 은 HKLM\Software\Classes\exefile\shell\OPEN\command\어떤 용도로도 사용된 적이 없는 것 같습니다.