我正在運行 Windows 7 機器。最近我發現一個應用程式可以做到這一點:
我a.exe在安裝之前就有了。該應用程式安裝b.exe在我的電腦上。它還會進行設置,以便每次我執行a.exe,b.exe都會代替它執行。我也確信a.exe當這種情況發生時我正在執行。此外,重命名任何有效的EXE文件文件在任何位置a.exe並執行它將導致執行b.exe.對於無效EXE文件文件(例如文字文件)此過程將導致錯誤。
我的問題是,這怎麼可能做到?而且這不是很大的安全隱憂嗎?另外我運行的是 Windows 7。
答案1
您的可執行檔被「影像檔案執行選項」劫持
影像檔案執行選項是 Windows 的功能,可讓您強制執行不同的程序,而不是使用者啟動的實際可執行檔。這很有用,例如如果您想要在程式啟動之前運行批次文件,無論該程式如何執行。但是,當您不知道正在使用該功能時,它可能會導致問題,因為 Windows 沒有解釋為什麼執行b.exe時會啟動。a.exe
幸運的是,管理此功能並不困難。您將在註冊表中找到所有「攔截」的程式:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
子鍵以將對其啟動進行重定向的可執行檔命名。預設情況下,這裡有許多鍵應該保留。只需搜尋與執行檔名稱相符的鍵a.exe,然後確認該鍵包含名為 的值Debugger。該值指定b.exe將啟動的可執行檔而不是a.exe.
若要停止不需要的行為,請刪除 Debugger 值或整個 a.exe 鍵