扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
8、文件和注册表虚拟化会阻挡恶意文件和注册表修改?
文件和注册虚拟化的确可以阻挡恶意的修改,但是那是针对有限的一部分位置而说的。默认情况下,原有的应用程序对以下位置进行读写的时候会被重定向到每个用户的虚拟化的区域(这不是一个完整的列表):
·\Program Files何其子文件夹
·64位系统上的\Program Files (x86)
·\Windows和所有的子文件夹,包括System 32
·\Users\%AllUsersProfile% \ProgramData(在XP中是\Documents and Settings\All Users)
·\Documents and Settings
·HKLM\Software
除了这个有限的列表中的写阻挡位置外,以下对象从不会被虚拟化:
·默认的Vista应用程序
·具有可执行扩展名的文件,诸如.EXE、.BAT、.VBS和.SCR。你还可以在注册表中以下位置增加额外的文件扩展名例外:HKLM\System\CurrentControlSet\Services\Luafv\Parameters
\ExcludedExtensionsAdd
·64位的应用程序和过程
·在可执行名单中具有一个被请求的执行级别指示的应用程序,例如大多数Vista进程
·使用管理员权限运行的过程或应用程序
·内核模式应用程序
·修改一个标有Don’t_Virtualize注册标志的注册表值的应用程序
关于最后一点,任何在HKLM\Software下的键具有三个新的注册标志,你可以通过Reg.exe来查看:
·Don’t_Virtualize
·Don’t_Silent_Fail
·Recurse_Flag
标有Don’t_Virtualize的任何键不会参与注册虚拟化。你可以使用Reg.exe来显示和设置注册标志。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。