真心求教一个问题！

kfne12

又研究了下。现在看起来我搞错了很重要的一点，打开控制面板项这个根本并不是什么隐藏功能，是早就有的。
新鲜的是那个command值。存在那个command值的话，就不按default值走。如果不存在command值，就按default值走。所以这招可以用来劫持一下exe关联，仅此而已。。。
另外不存在default值的话，直接打开控制面板项，不需要command值。

kfne12

wowocock 发表于 2018-3-27 15:21
运行 360thrust.com，点开始即可。

360thrust.com有点问题貌似。
研究了一下流程见31楼，不需要exefile\shell\open\command这个项，也是可以劫持的。
于是我把exefile\shell\open\command这个项全删了，再在exefile\shell\open下写个opencontrolpanel值
这样来劫持。
360thrust.com好像就处理不了了。貌似没有exefile\shell\open\command的话，360thrust.com不会写新建一个上去？
急救箱倒是可以修复这个。

wowocock

kfne12 发表于 2018-3-28 12:37
360thrust.com有点问题貌似。
研究了一下流程见31楼，不需要exefile\shell\open\command这个项，也是可 ...

好的，多谢提醒，坑比较多啊。

wowocock

kfne12 发表于 2018-3-28 12:37
360thrust.com有点问题貌似。
研究了一下流程见31楼，不需要exefile\shell\open\command这个项，也是可 ...

用新版的测试下看看。

kfne12

wowocock 发表于 2018-3-28 16:39
用新版的测试下看看。

试了下，应该没问题了。

浪费大牛这么多时间来玩这种小儿科的事情，我都有点不好意思啦。

wowocock

kfne12 发表于 2018-3-28 16:54
试了下，应该没问题了。

浪费大牛这么多时间来玩这种小儿科的事情，我都有点不好意思啦。

没事，欢迎继续提供问题，我们一定及时改进。

kfne12

wowocock 发表于 2018-3-28 16:55
没事，欢迎继续提供问题，我们一定及时改进。

捣鼓了一下。其实还是可以继续绕过刚才这个360thrust的。。。

可以新建一个
HKEY_CLASSES_ROOT\exefile\shell\test
里面写一个opencontrolpanel
然后把HKEY_CLASSES_ROOT\exefile\shell的默认值设为test
这样又可以劫持了。。。。

wowocock

kfne12 发表于 2018-3-28 17:11
捣鼓了一下。其实还是可以继续绕过刚才这个360thrust的。。。

可以新建一个

把HKEY_CLASSES_ROOT\exefile\shell 的默认值清空即可。坑还真多。

wowocock

kfne12 发表于 2018-3-28 17:11
捣鼓了一下。其实还是可以继续绕过刚才这个360thrust的。。。

可以新建一个

修改好了，继续测试。

kfne12

wowocock 发表于 2018-3-28 17:56
修改好了，继续测试。

那我要是把注册表的那几个位置的权限设置为当前账户禁止修改呢？
比如把HKEY_CLASSES_ROOT\exefile\shell\open\command
设置为禁止读取，禁止修改
也没用驱动，是不是360Thrust就修复不了了。。。

不过，我觉得这种攻防有点无休无止，没意义了。毕竟360Thrust只是一个ring3的修复一些常见小问题的工具，不可能做这么多对抗的。。。。