我一直在尋找這個未記錄的註冊表項的解釋,但我所能找到的只是一些關於獲取所有權或以管理員身份運行的參考,而沒有真正解釋該特定註冊表值(不是項)的設計目的。
我還發現這個連結顯示:
HKEY_CURRENT_USER\Software\Classes.exe\ shell\open\command | HKEY_CURRENT_USER\Software\Classes.exe\ shell\open\command |隔離指令 = ""%1? %*"
與間諜軟體有關。這是真的?如果是這樣,怎麼辦?
知道這個「IsolatedCommand」值是什麼意思嗎?
答案1
您所看到的顯然是以下症狀的症狀Win32/FakeRean。簡要地,
Win32/FakeRean 是一系列聲稱可以掃描惡意軟體並顯示惡意檔案的虛假警告的程式。然後他們通知用戶需要付費註冊軟體才能消除這些不存在的威脅。
當 Windows 嘗試確定如何處理任何給定類型的檔案時,它通常會查詢HKLM註冊表中的分支以取得所需類型的條目。但是,如果您曾經安裝過軟體,詢問您是否希望該軟體可供您單獨使用,還是可供電腦的所有使用者使用,那麼您就已經看到了 Windows 內建的功能。當您說「Everyone」時,其登錄項目通常會寫入HKLM組態單元。如果你說你一個人,這些條目通常會進入HKCU蜂巢。所做Win32/FakeRean的是將條目放入HKCU配置單元中,該條目優先於HKLM.對於可執行檔來說,這可能很糟糕。
不幸的是,我找不到該IsolatedCommand金鑰的任何文件(我查閱了 TechNet 和 MSDN),但從它的名稱來看,我猜測它控制著進程的創建方式。我能告訴你它是正常且在HKLM蜂巢中需要。
答案2
我在搜尋同一問題時發現了這一點:
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
在命令下將預設值變更為“%1”%*,就像在 HKLM 中一樣,並新增一個名為 '隔離命令' 與預設值相同。透過這些設置,系統或其操作幾乎沒有發生任何變化。
> 但是,如果我們將“IsolatedCommand”字串更改為“notepad.exe”並嘗試使用任何二進位檔案在該系統上“以管理員身份運行”,猜猜會發生什麼?記事本! (作為管理員)。 w00t。
答案3
IsolatedCommand下面的值用於HKLM\Software\Classes\exefile\shell\RUNAS\command\提供當您Run as Administrator在 Windows 10 直至內部版本 17025 上選擇時執行的命令。
在未打補丁的電腦上,可以透過IsolatedCommand在 HKCU 中建立條目但使用不同的值資料來規避 UAC,例如cmd.exe然後執行sdclt.exe /kickoffelev.當此漏洞在版本 17025 之後修補時,該IsolatedCommand值仍然保留,但Run as Administrator隨後使用了密鑰中的值(Default)。
剩下的東西IsolatedCommand似乎不再有任何用途。
IsolatedCommand下面的值似乎HKLM\Software\Classes\exefile\shell\OPEN\command\沒有起到任何作用。