这样大大加强了限制的效果,不是简单改名就能破除限制。
随机命名的程序也可以轻松限制。
这里不做详解,就以新建路径规则为例,稍微演示一下功能的使用:如上图,路径支持使用%temp%这样的环境变量,也支持.exe这样的通配符。
上图这条规则,将会限制系统临时文件夹下所有后缀名为.exe的程序运行。运行效果如图:需要注意的是,像我这样写,并不会连同子目录下的程序一起限制。
如果要连同所有子目录下的程序一起限制,可以这样写:限制方法三这是一种特殊的限制方式,虽然功能也不强,但仍是值得一提,它叫:映像劫持在运行或者CMD中输入:例1,点击qq.exe时提示找不到文件:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe" /v debugger /t reg_sz /d bucunzai.exe /f
效果如图:例2,点击qq.exe时,打开cmd.exe:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe" /v debugger /t reg_sz /d cmd.exe /f
当然,也可以把cmd.exe换成其它指定位置的程序,比如 D:\soft\test.exe这个映像劫持是不是还有点好玩? (图片来源网络,侵删)
0 评论