【原创】SysCheck禁止进程运行的秘密★★★★
运行syscheck后,没有发现它加载驱动,但是在“进程控制”中却有一个“永久禁止指定程序运行”的选项,看来比较有意思,于是对IceSword.exe试了一下。在退出IS之后,再运行,果然系统弹出找不到文件的对话框,用SRENG查看文件关联,没有发现被改动。
将IceSword.exe改为IceSword2.exe,可以正常运行。可是任意一个程序的文件名只要为IceSword.exe,就无法运行,看来是只采用了核对文件名禁止程序的方法。
扫描HJ和SRENG日志后,没有发现任何异常改动,无意之中打开了Autoruns与备份日志比较,果然发现了一个十分可疑的项:
果然改动注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executing Options]
+
IceSword.exe
删除之,IceSword.exe正常运行。
反思:目前我用的SSM(580)还没有添加监控这个键,新版的不知道有没有。如果没有的话,可以自己设置来防止这个隐匿的注册表改动。
