Я искал объяснение этому недокументированному разделу реестра, но все, что я смог найти, это упоминание о том, чтобы стать владельцем или работать от имени администратора, без реального объяснения того, для чего предназначен этот конкретный параметр реестра (не раздел).
Я также нашел эту ссылку, которая предполагает, что:
HKEY_CURRENT_USER\Software\Classes.exe\shell\open\command | IsolatedCommand = ""%1? %*"
связано со шпионским ПО. Это правда? Если да, то как?
Есть ли у вас идеи, что означает значение «IsolatedCommand» и зачем Microsoft создало значение реестра, которое могло бы помочь шпионскому ПО?
решение1
То, что вы видите, по-видимому, является симптомомWin32/FakeRean. Вкратце,
Win32/FakeRean — это семейство программ, которые заявляют, что сканируют на наличие вредоносного ПО и выводят поддельные предупреждения о вредоносных файлах. Затем они сообщают пользователю, что ему нужно заплатить деньги за регистрацию программного обеспечения, чтобы удалить эти несуществующие угрозы.
Когда Windows пытается определить, что делать с файлами любого заданного типа, она обычно обращается к HKLMветви реестра за записью для нужного типа. Однако, если вы когда-либо устанавливали программное обеспечение, которое спрашивало, хотите ли вы, чтобы оно было доступно только вам или всем пользователям машины, вы видели функцию, встроенную в Windows. Когда вы говорите «Все», его записи реестра обычно записываются в куст HKLM. Если вы сказали «Вы один», эти записи обычно отправляются в HKCUкуст. То, что Win32/FakeReanпроисходит, — это размещение записей в HKCUкусте, которые имеют приоритет над теми, что находятся в HKLM. Для исполняемых файлов это может быть плохо.
К сожалению, я не могу найти никакой документации по этому IsolatedCommandключу (я консультировался и с TechNet, и с MSDN), но по его названию я предполагаю, что он управляет тем, как создается процесс. Яможетсказать вам, что этоявляетсянормально и необходимо в HKLMулье.
решение2
Я нашел это, когда искал информацию по тому же вопросу:
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
В команде измените значение по умолчанию на "%1" %*, как в HKLM, и добавьте новое строковое значение с именем 'ИзолированнаяКоманда' с тем же значением, что и по умолчанию. С этими настройками в системе или ее работе мало что изменилось.
> Однако, если мы изменим строку «IsolatedCommand» на «notepad.exe» и попытаемся «Запустить от имени администратора» в этой системе, используя любой двоичный код, угадайте, что произойдет? Блокнот! (как администратор). w00t.
решение3
Значение IsolatedCommandниже HKLM\Software\Classes\exefile\shell\RUNAS\command\использовалось для указания команды, которая выполняется при выборе Run as Administratorв Windows 10 до сборки 17025.
На непропатченной машине UAC можно было обойти, создав IsolatedCommandзапись в HKCU, но с другими данными значений, например, cmd.exeа затем запустив sdclt.exe /kickoffelev. Когда этот эксплойт был исправлен после сборки 17025, IsolatedCommandзначение сохранилось, но Run as Administratorзатем использовалось значение из (Default)ключа.
Оставшееся, IsolatedCommandпохоже, больше не служит никакой цели.
IsolatedCommandПохоже, что указанное ниже значение никогда HKLM\Software\Classes\exefile\shell\OPEN\command\не служило какой-либо цели.