Hur man använder Reg till att blockera exekverbara filer [Windows]


Venoms
 Share

Recommended Posts

Windows XP använder en registernyckel som heter "Image File Execution Options" för möjlighet till att ändra beteendet för specifika exekverbara filer.

De flesta alternativen som är tillgängliga genom den här nyckeln innehåller funktioner på kernel-nivå som normalt programmerare använder för att hitta fel och brister med deras program t.ex minnesläckage eller stack (heap) problem. Med lite kreativt arbete kan man använda nyckeln till att stoppa vissa program från att köras.

Registernyckeln i fråga är:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options.

Om du öppnar din registereditor och tittar så hittar du en massa existerande subnycklar redan, som varje innehåller namnet på en exekverbar fil. Varje subnyckel kan innehålla fler värden för att styra programmets beteende.

Det värdet som är mest intressant är ett "Strängvärde" som heter "Debugger", som tillåter en specifik debugger att köras för just det programmet när det exekveras. Windows XP har inbyggt en kommandorads-debugger som heter "ntsd", som kan användas för att stoppa en applikation om någon exekverar det.

För att blockera en applikation, börja med att skapa en ny subnyckel under "Image File Execution Options" och namnge den efter den applikation som du inte vill köra. Inkludera filens filändelse typ (exe dll etc). Kom ihåg att inte lägga till sökvägen till applikationen utan bara namnet självt t.ex rackartyg.exe. Du kan titta i de andra subnycklarna efter tips på hur de används.

I den nyskapade subnyckeln, skapa ett "strängvärde" och namnge det till "Debugger", sätt värdet på "Debugger" till:

ntsd -- (Det är, ntsd mellanslag och två bindestreck).

Detta får det startade programmet att stoppa ögonblickligen.

Kom ihåg att vanliga användare ska inte ha rätt att ändra i registret, då det är ganska lätt att hitta detta lilla trix och ändra på det.

Man kan också använda det som en del av ett logon-script eller en policy, som ett sätt att blockera olika program som man vet är "dåliga nyheter" t.ex Kaza, Dc++ etc.

På JSI FAQ websidan finns ett tips som använder denna tekniken. Dom har gjort ett sätt att hindra Windows Update från att köras, genom att blockera "wupdmgr.exe". Se tips http://www.jsifaq.com/SUBS/tip9000/rh9017.htm på deras sida.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share