真心求教一个问题！

kfne12

3月26号更新：初步研究结果见11楼，12楼，30楼，31楼。另外做了一个压缩包展示一下11楼12楼30楼的研究成果。
3月26号晚更新：手痒测试360，此方法确实可以绕过360AV软件，注入一个dll到explorer，从而打造一个不易察觉的隐蔽后门。具体怎么做不细说，爬完楼自然就知道了。。



以下是3月24日旧帖：
-----------------------------------------------------------


多年前用procmon时无意发现的一个无聊的问题，今天不知道怎么突然想起。

这问题跟注册表有关系：
打开注册表编辑器，定位到
HKEY_CLASSES_ROOT\exefile\shell\open\command
看到右边不是有两个值吗
一个默认值
一个IsolatedCommand
我们在这两个的旁边，也就是HKEY_CLASSES_ROOT\exefile\shell\open\command的下方再新建一个值，随便什么类型，命名为command,内容可以不填。
说起来这么麻烦，其实直接导入这个reg也行。

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_CLASSES_ROOT\exefile\shell\open\command]
   
4. "command"=""

复制代码

注意，不是修改了病毒常改的default值，而是新建了一个叫command的值。
导入完了之后，我们就会发现，所有的exe都打不开了。打开时提示参数错误。导入这个值时，杀毒什么的也不提示。
很神奇吧。这个xxx\shell\xxx\command下的command值google上查过了，查不到。MS也没有对这个值的介绍。
我在想，这个肯定跟什么windows隐藏的功能特性有关。
我想知道的就是这个功能特性到底是什么呢？这个command值的用法到底是什么？解决这个估计要逆向一下windows操作系统的有关文件了，可惜我不会逆向，所以想向这里的朋友求教。。。
本人研究这个不为了干坏事，只是为了满足好奇心。。。俺捣鼓这捣鼓那，其实一个木马都没写过。。。。

也不知道发在kafan的国内区和是不合适，毕竟这个论坛也没有逆向区啊。国内区貌似人气还可以，都是对windows安全技术有研究的同学,所以关于这个问题还是发在这里，希望懂的人不吝赐教

pal家族

按照惯例，应该艾特数字官人

kfne12

pal家族 发表于 2018-3-24 22:00
按照惯例，应该艾特数字官人

这问题跟数字还真是一点关系都没有了。

随便注册

编辑掉，还真不是老问题

kfne12

随便注册 发表于 2018-3-24 22:06
就是关联的打开方式，这是exe的
还有对应右键菜单编辑的edit，如txt
[HKEY_CLASSES_ROOT\txtfile\shell\e ...

你没看懂，是在command键下再新建一个command值。不是病毒经常改的那个文件关联。
感觉可能是MS预留的一项隐藏功能。。

kfne12

随便注册 发表于 2018-3-24 22:06
就是关联的打开方式，这是exe的
还有对应右键菜单编辑的edit，如txt
[HKEY_CLASSES_ROOT\txtfile\shell\e ...

另外。修改exefile关联不影响.reg的导入的吧。你记错了？

随便注册

kfne12 发表于 2018-3-24 22:19
另外。修改exefile关联不影响.reg的导入的吧。你记错了？

新建就不是改吗？也许微软处理的不好？你建个其它名字的试试，反正我不敢试
导入reg也是调用regedit.exe，导不进去，至少XP如此。

kfne12

随便注册 发表于 2018-3-24 22:23
新建就不是改吗？也许微软处理的不好？
导入reg也是调用regedit.exe，导不进去，至少XP如此。

我这里win7,把exe关联删了都不影响reg导入。

随便注册

kfne12 发表于 2018-3-24 22:29
我这里win7,把exe关联删了都不影响reg导入。

虚拟机试了试，直接运行exe如画图，提示参数错误，但通过调用就没事，比如图片——编辑，你发现的还真是不一样！

kfne12

唉。这种问题发kafan论坛没用，还是得自己解决啊。

刚才捣鼓了一下，搞明白了。也没去逆向。直接用procmon跟了下，再动手试了试，就明白了：这个隐藏项目不是什么特别高级的功能特性，是打开控制面板项目用的。。不过还是有点意思的。。