多出个notepad.exe，哪位大虾知道我这是为什么？

显示全部楼层 · 发表于 2009-11-1 17:16:20

多出个notepad.exe，哪位大虾知道我这是为什么？
COMODO的规则已经配置好一个多月了，以前经常用记事本，都没有弹窗。今天像往常一样打开记事本，COMODO提示弹窗出来了，说notepad.exe要直接访问键盘，我记得规则里是允许的呀，怎么还提示呢？一看路径竟然是：

C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.0.6001.18000_none_6f1a8d7b6fffbb73\notepad.exe
去验证notepad.exe的 MD5值：DAF60E13E96ECB67F0EDAA89C6B01B8D，没错，还是个正宗的notepad.exe，但怎么路径变了？

再试验，一步步允许，这个notepad.exe先是直接访问键盘，再是创建目录\SystemRoot\AppPatch\sysmain.sdb，再安装全局钩子C:\Windows\System32\dwmapi.dll，最后还访问命名管道\Device\NamedPipe\lsarpc、\Device\NamedPipe\srvsvc，访问内存等等。不过以上都阻止后，记事本也能工作，因为C:\windows\system32\notepad.exe也运行了！
请问各位大虾，我这个notepad.exe正常吗？为什么以前没出现过，今天一下冒出来？我没有安装，没有改规则。有劳各位解答！
我的系统Vista SP1。

[ 本帖最后由亮剑出鞘于 2009-11-1 22:45 编辑 ]

显示全部楼层 · 发表于 2009-11-1 17:20:30

XP也有两个~

一个在windows目录，另一个在system32目录~

显示全部楼层 · 发表于 2009-11-1 17:34:24

原帖由 月光下的忍者 于 2009-11-1 17:20 发表
XP也有两个~

一个在windows目录，另一个在system32目录~

我的除了有这两个外，现在又多了C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.0.6001.18000_none_6f1a8d7b6fffbb73\notepad.exe
现在每次打开C:\windows\system32\notepad.exe，那个新notepad.exe都要有动作，以前绝对不是这样的！

显示全部楼层 · 发表于 2009-11-1 18:15:45

notepad.exe可以加入白名单

显示全部楼层 · 发表于 2009-11-1 18:24:50

记事本是有两个，一个在windows目录下，一个在system32下，你那个目录下难度是出鬼了

显示全部楼层 · 发表于 2009-11-1 22:17:32

　　楼主校验下数字签名吧，是微软的就放过吧，也不知怎么搞的。

显示全部楼层 · 发表于 2009-11-1 23:11:43

原帖由 mygames10 于 2009-11-1 18:24 发表
记事本是有两个，一个在windows目录下，一个在system32下，你那个目录下难度是出鬼了

我也感觉像闹鬼！

显示全部楼层 · 发表于 2009-11-1 23:25:03

原帖由 穿越星空 于 2009-11-1 22:17 发表
　　楼主校验下数字签名吧，是微软的就放过吧，也不知怎么搞的。

数字签名有效！

经试验，只要右键运行C:\Windows\System32\notepad.exe，在XueTr中看到的进程路径就是：
C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.0.6001.18000_none_6f1a8d7b6fffbb73\notepad.exe，
而且只有一个线程，感觉它和操作系统有密切关系。
而运行C:\Windows\notepad.exe，路径还是C:\Windows\notepad.exe。

[ 本帖最后由亮剑出鞘于 2009-11-1 23:28 编辑 ]

显示全部楼层 · 发表于 2009-11-2 12:41:37

　　右键运行时WinSXS目录，那双击呢？应该也一样吧。
　　从微软知识库Windows 2000 安装记事本工具的两个的副本来看，The default location for the Notepad tool in Windows 3.1 is \%SystemRoot%\ and in Windows 2000 it is \%SystemRoot%\System32\.
　　winsxs 存储各版本的winxp 组件。Windows XP在“Windows”目录下提供了一个名为“WinSxS”（Windows Side-by-Side）的文件夹。系统使用这个文件夹存储各个版本的Windows XP组件，减少因为动态链接库（Dynamic Link Libraries，DLL）引起的配置问题（DLL hell）。
　　从以上两方面来看，应该是winsxs是适用于当前系统的，但是不知为什么不直接替换掉\%SystemRoot%\System32\，既然有数字签名，那就不用太担忧了。

显示全部楼层 · 发表于 2009-11-2 13:12:13

原帖由 穿越星空 于 2009-11-2 12:41 发表
　　右键运行时WinSXS目录，那双击呢？应该也一样吧。
　　从微软知识库Windows 2000 安装记事本工具的两个的副本来看，The default location for the Notepad tool in Windows 3.1 is \%SystemRoot%\ and in Windo ...

双击运行也一样！
我把快捷方式改为C:\Windows\notepad.exe的了，反正两个notepad一样。
多谢各位解答！

[求助] 多出个notepad.exe，哪位大虾知道我这是为什么？

浏览过的版块