我一直在寻找这个未记录的注册表项的解释,但我能找到的只是一些关于获取所有权或以管理员身份运行的参考,而没有真正解释该特定注册表值(不是键)的设计目的。
我还发现这个链接表明:
HKEY_CURRENT_USER\Software\Classes.exe\ shell\open\command | 隔离命令 = ""%1? %*"
与间谍软件有关。这是真的?如果是这样,如何?
知道这个“IsolatedCommand”值是关于什么的,为什么微软会创建一个有助于间谍软件的注册表值?
您所看到的显然是Win32/FakeRean的症状。简要地,
Win32/FakeRean 是一系列声称可以扫描恶意软件并显示恶意文件的虚假警告的程序。然后他们通知用户需要付费注册软件才能消除这些不存在的威胁。
当 Windows 尝试确定如何处理任何给定类型的文件时,它通常会查询HKLM注册表中的分支以获取所需类型的条目。但是,如果您曾经安装过软件,询问您是否希望该软件可供您单独使用,还是可供计算机的所有用户使用,那么您就已经看到了 Windows 中内置的功能。当您说“Everyone”时,其注册表项通常会写入HKLM配置单元。如果你说你一个人,这些条目通常会进入蜂巢HKCU。所做Win32/FakeRean的是将条目放入HKCU配置单元中,该条目优先于HKLM. 对于可执行文件来说,这可能很糟糕。
不幸的是,我找不到该IsolatedCommand密钥的任何文档(我查阅了 TechNet 和 MSDN),但从它的名称来看,我猜测它控制着进程的创建方式。我可以告诉你,这是正常的,也是蜂巢所必需的HKLM。
| 归档时间: |
|
| 查看次数: |
5522 次 |
| 最近记录: |