扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
8、文件和注册表虚拟化会阻挡恶意文件和注册表修改?
文件和注册虚拟化的确可以阻挡恶意的修改,但是那是针对有限的一部分位置而说的。默认情况下,原有的应用程序对以下位置进行读写的时候会被重定向到每个用户的虚拟化的区域(这不是一个完整的列表):
·\Program Files何其子文件夹
·64位系统上的\Program Files (x86)
·\Windows和所有的子文件夹,包括System 32
·\Users\%AllUsersProfile% \ProgramData(在XP中是\Documents and Settings\All Users)
·\Documents and Settings
·HKLM\Software
除了这个有限的列表中的写阻挡位置外,以下对象从不会被虚拟化:
·默认的Vista应用程序
·具有可执行扩展名的文件,诸如.EXE、.BAT、.VBS和.SCR。你还可以在注册表中以下位置增加额外的文件扩展名例外:HKLM\System\CurrentControlSet\Services\Luafv\Parameters
\ExcludedExtensionsAdd
·64位的应用程序和过程
·在可执行名单中具有一个被请求的执行级别指示的应用程序,例如大多数Vista进程
·使用管理员权限运行的过程或应用程序
·内核模式应用程序
·修改一个标有Don’t_Virtualize注册标志的注册表值的应用程序
关于最后一点,任何在HKLM\Software下的键具有三个新的注册标志,你可以通过Reg.exe来查看:
·Don’t_Virtualize
·Don’t_Silent_Fail
·Recurse_Flag
标有Don’t_Virtualize的任何键不会参与注册虚拟化。你可以使用Reg.exe来显示和设置注册标志。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者