查看: 13922|回复: 30
收起左侧

[软件分享] 离线注册表重定向工具runscanner--此runscanner非彼runscanner

[复制链接]
byxxdrls
头像被屏蔽
发表于 2011-2-9 17:58:37 | 显示全部楼层 |阅读模式
本帖最后由 byxxdrls 于 2011-2-10 09:34 编辑

这个工具貌似可以让一些工具在PE下对硬盘注册表进行操作。具体不清楚,待熟悉此工具的网友解释。

下面这段代码是深山红叶中的一个示例脚本,供大家参考:
  1. REG IMPORT C:\arswp\runscanner.reg
  2. call C:\arswp\messX.cmd "是否现在更新Windows清理助手?由于在离线查杀系统的间谍软件情况下,Windows清理助手是无法更新的。为了能够完整地查杀间谍软件,建议你先更新Windows清理助手。" "Windows清理助手"
  3. If /i "%messX%"=="YES" goto :update
  4. If /i "%messX%"=="NO" goto :Run
  5. :update
  6. PECMD.exe mess 即将更新Windows清理助手,等一下会运行Windows清理助手主程序,请按照正常方式更新Windows清理助手.   注意:在这个时候的Windows清理助手中是无法离线查杀系统的间谍软件!  更新完后,Windows清理助手才能离线查杀系统的间谍软件!@提示#OK
  7. start /wait C:\arswp\arswp.exe
  8. PECMD.exe mess 更新完毕!开始运行Windows清理助手进行离线查杀系统的间谍软件! 3秒后自动关闭本对话框。@提示#OK*3000
  9. goto :Run
  10. :Run
  11. C:\arswp\runscanner.exe /t 0 /v C:\arswp\arswp.exe
  12. rd /s /q C:\arswp
  13. goto :end
复制代码


此工具的版本好像不是最新的,如果哪位网友知道最新版的下载地址请说明一下,谢谢。
使用方法见8楼http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-906882-pid-17601676-fromuid-313930.html
最新版下载地址见10楼http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-906882-pid-17602127-fromuid-313930.html

RUNSCANNER.rar

61.37 KB, 下载次数: 807

kxmp
发表于 2011-2-9 18:04:50 | 显示全部楼层
清理助手?!!
byxxdrls
头像被屏蔽
 楼主| 发表于 2011-2-9 18:06:44 | 显示全部楼层
本帖最后由 byxxdrls 于 2011-2-9 18:10 编辑

回复 2楼 kxmp 的帖子

估计是让清理助手在PE下对硬盘系统进行检测(涉及到脱机注册表的连接吧)
我很早之前想利用这个工具让SRENG来检测脱机系统,不行没试过清理助手

里面还有一个示例:
Runscanner.exe /t 0 Wsyscheck.exe


深山红叶中的硬盘注册表编辑工具好像就是利用了这个工具:
Runscanner.exe /t 0 regedit.exe

freesoft00
发表于 2011-2-9 18:09:56 | 显示全部楼层
这个软件有些时候没有更新了。
我这里是最新的,不知道和你的版本一样不一样。回头传上来 。
freesoft00
发表于 2011-2-9 18:11:18 | 显示全部楼层
这个是在pe下重定向注册表为离线的本地硬盘中的注册表,这样就可以扫描到其中的问题了。
byxxdrls
头像被屏蔽
 楼主| 发表于 2011-2-9 18:11:35 | 显示全部楼层
回复 4楼 freesoft00 的帖子

主程序版本是1, 0, 0, 13
freesoft00
发表于 2011-2-9 18:13:30 | 显示全部楼层
1.0.0.25
zhhsh
发表于 2011-2-9 18:58:20 | 显示全部楼层
我翻译了文档,使用方法:http://bbs.wuyou.net/viewthread.php?tid=133391

评分

参与人数 1人气 +1 收起 理由
byxxdrls + 1 版区有你更精彩: )

查看全部评分

byxxdrls
头像被屏蔽
 楼主| 发表于 2011-2-9 19:05:46 | 显示全部楼层
回复 8楼 zhhsh 的帖子

+1
直接贴上:
  1. 默认情况下启动Runscanner将扫描所有驱动器上寻找Boot.ini文件。目录中的Windows安装会发现从默认进入任
  2. 何找到Boot.ini文件。这将是假定同一驱动器上的Boot.ini文件。如果有多个这样的目录中发现然后将提示您
  3. 选择其中之一。如果只有一个发现然后将加载注册表配置单元。如果没有找到然后将提示您选择Windows安装目
  4. 录。最后你将询问您是否要加载用户配置文件。随后列出用户列表,您将需要从适当的用户选择Ntuser.dat文
  5. 件。见下面的参数选项,允许的默认行为被否决。

  6. 在注册表配置单元已加载,要运行的程序将启动和RunScannerDLL.DLL将注入在该进程。在默认超时10秒所有注
  7. 册表访问将被重定向到适当的加载配置单元。时间内是允许的应用程序初始化时使用WinPE注册表。 Webroot
  8. Spysweeper似乎是对这个超时时间非常敏感。目标程序可能出现无响应或出错退出。

  9. 以下是Runscanner运行参数:

  10. RunScanner {/ac}{/cp}{/d}{/lu}{/lw}{/m}{/m+}{/max}{/n}{/ns}{/s}{/sd}{/sv}{/t <超时时间>}{/q}{/u <
  11. 用户配置单元hive>}{/v}{/w <windows安装目录>}{/x}{/xe}{/xn}{/xs}{/xw}{/y}<要运行的程序>

  12. 各参数详解:
  13. /ac 如果只有一个真实的用户配置文件,如果发现那么这将自动设置到HKCU hive而不显示选择用户对话框。
  14. /cp 直接启动任何进程的目标过程中都会对它们进行注册表重定向。
  15. /d  将从目标的进程输出调试信息。
  16. /lu 自动加载上次选择的用户配置文件,上次选择的用户配置文件信息保存在
  17. [HKLM\Software\Paraglider\Runscanner]
  18. /lw 自动选择上次选择的Windows安装目录,上次选择的Windows安装目录信息保存在
  19. [HKLM\Software\Paraglider\Runscanner]
  20. /m  自动加载选择用户后剩下的用户配置文件到HKEY_USERS,但重定向HKCU到选择的用户配置文件,有些反间
  21. 谍软件如Ad-aware会扫描加载到HKEY_USERS的所有用户。
  22. /m+ 之后提示用户配置文件是用于重定向HKCU然后其余所有远程用户配置文件被加载。
  23. /max以最大化窗口运行目标程序
  24. /n  不加载用户配置文件,只加载SYSTEM、SOFTWARE等配置单元,并对目标程序注册表重定向。
  25. /ns 如果启动驱动器的驱动器不包含runscanner的目标程序然后将执行的注册表重定向。
  26. /s  自动扫描的Boot.ini文件将被取消,该参数将显示一个对话框,询问的Windows安装目录被选中。
  27. /sd 扫描所有根目录所有驱动器上寻找Windows安装目录
  28. /sv 使用bcdedit.exe扫描BCD来寻找Windows安装目录
  29. /t <超时时间> 指定在这个时间内目标程序可以访问WinPE注册表,超过该时间就进行注册表重定向。
  30. /q  runscanner加载注册表配置单元之前runscanner会询问您是否要加载远程注册表。如果您没有作出反应的
  31. ,目标程序将直接运行而不进行注册表重定向。
  32. /u <用户配置单元hive> 手动指定用户配置单元
  33. /w <windows安装目录>  手动指定Windows安装目录
  34. /v  重定向所有变量,如%ProgramFiles%
  35. /x  在ExpandEnvironmentStrings函数拦截,如果字符串开始<driveletter>:驱动器代号是取代盘符对应的驱
  36. 动器盘符,将使用在目标操作系统。此外,如果该字符串开头的相对路径或没有驱动器的路径信息,然后扩展
  37. 到使相对路径的目标Windows目录。这主要是为Sysinternals autoruns程序解决问题的。此选项可能导致程序
  38. 崩溃或与其他程序产生其他奇怪的行为。
  39. /xe 不拦截RegEnumX函数
  40. /xn 如果没有自动扫描被发现的Windows安装目录,RunScanner将退出不提示手动选定的Windows安装目录
  41. /xs 把%SystemRoot%\System32\shell32.dll扩展到启动驱动器而不是目标驱动器。用于ccleaner
  42. /xw 不拦截GetWindowsDirectory函数。
  43. /y  直接弹出询问选择用户对话框而不询问是否加载用户配置文件。


  44. 请注意,在/t /u和/w 的参数之一,更多的空间可以单独选项和选项值。如果该选项值包含空格那么就应该把
  45. 它包含在双引号。

  46. 例如:
  47. RunScanner /t 5000 /u "C:\Documents and Settings\Administrator\NTUSER.DAT" /w c:\windows Ad-
  48. Aware.exe


  49. 高级使用:
  50. 1. Runscanner还允许其他选项指明通过WinPE注册表。下面的注册表设置,目前支持:设置哪些不为目标程序
  51. 重定向的注册表项

  52. Windows Registry Editor Version 5.00
  53. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<目标程序>]
  54. "HKLM"="<注册表项1>"
  55. "HKCU"="<注册表项2>"



  56. Windows Registry Editor Version 5.00
  57. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<目标程序>\HKLM]
  58. "<注册表项1>"=""
  59. "<注册表项2>"=""
  60. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<目标程序>\HKCU]
  61. "<注册表项1>"=""
  62. "<注册表项2>"=""

  63. 每个控制程序也可以选择允许指定的注册表项及其子键没有被重定向到远程的hive。你可以指定一个
  64. HKEY_LOCAL_MACHINE项和一个HKEY_CURRENT_USER项不被重定向。程序名称(包括扩展名)是用来选取注册表值
  65. 用来控制此功能.

  66. HKLM代表HKEY_LOCAL_MACHINE
  67. HKCU代表HKEY_CURRENT_USER

  68. Windows Registry Editor Version 5.00
  69. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\360Safe.exe]
  70. "HKLM"="SOFTWARE\\360Safe"

  71. 或者

  72. Windows Registry Editor Version 5.00
  73. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\360Safe.exe\HKLM]
  74. "SOFTWARE\\360Safe"=""

  75. 该控制的是:不对注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe]进行重定向,即目标进程360Safe.exe可
  76. 以读写WinPE的注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe],而不是读写离线系统的注册表项
  77. [HKEY_LOCAL_MACHINE\SOFTWARE\360Safe]

  78. 2. 注册表值直接允许RunScanner加载注册表配置单元的名称改名。所有这些值都是可选的。如果该值指定然后
  79. 定义的格式名称加载注册表配置单元。每种格式最多可以有两个替代值%s %c (必须是小写) 。
  80. %s 是代替hive类型( SOFTWARE, SYSTEM, SECURITY, SAM, DEFAULT or <User Name 0> ..... <User Name N>
  81. ).
  82. %c 是代替配置单元文件所在的驱动器盘符
  83. 默认格式为%s_ON_%c,例如远程SOFTWARE配置单元这将是SOFTWARE_ON_E 。因此,如果您要加载远程SOFTWARE
  84. 配置单元命名为FRED,请在注册表项设置:

  85. Windows Registry Editor Version 5.00
  86. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner]
  87. "Software"="FRED"

  88. 如果你想像"DRIVE_C_SOFTWARE"这样加载它然后你使用"DRIVE_%c_%s"等...

  89. 3.某些程序需要启动服务。正如runscanner调试不通知服务启动时,那么它通常不能对服务进行注册表重定向
  90. 。一个新的功能现在可以监测一个指定的服务启动并注入RunScannerDLL.DLL到该服务时,服务启动。这是由以
  91. 下注册表项:

  92. [HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<Program Name>]
  93. "Monitor"="<Service Name>"

  94. 请注意,<Service Name>是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下服务名称

复制代码
salmon5
发表于 2011-2-9 19:27:11 | 显示全部楼层
好工具,这个是官方最新版。
http://www.paraglidernc.com/Files/RunScanner10025.cab

评分

参与人数 1人气 +1 收起 理由
byxxdrls + 1 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 20:16 , Processed in 0.150228 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表