标题: [注册表类] 批处理如何通过映像劫持执行空命令? [打印本页]
作者: kidzgy 时间: 2022-9-13 09:22 标题: 批处理如何通过映像劫持执行空命令?
是这样的,ADOBE ACROBAT 会不定期运行AdobeCollabSync.exe,这个文件没什么用,运行了之后又影响系统速度,但是我又不想删除这个文件(可能会导致校验,提示文件不完整),而是期望通过映像劫持的方式,使之执行空命令,就好像双击一个exe,没有画面闪烁,进程稍纵即逝,什么也没有发生。
需要注意的是,AdobeCollabSync.exe运行之时,后面会附带长串命令。
作者: Batcher 时间: 2022-9-13 11:28
回复 1# kidzgy
请参考Q-04把bat文件保存为ANSI编码:
https://mp.weixin.qq.com/s/Koje4FufWxWBs7ioDy_LJA
test.bat- @echo off
- reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AdobeCollabSync.exe" /v Debugger /t REG_SZ /d "cmd /c echo %%date%% %%time%%" /f
作者: kidzgy 时间: 2022-9-14 17:26
回复 2# Batcher
谢谢!用了一天,感觉理论上会有一闪而过的批处理窗口,但目前还没遇到。
作者: kidzgy 时间: 2022-11-6 08:57
还是会遇到批处理窗口一闪而过。
作者: kidzgy 时间: 2022-11-26 15:07
如果要用映像劫持执行空命令,可以导向至systray.exe。
另外发现,AdobeCollabSync.exe应该是执行签名的意思,需要在acrobat里首选项,在签名选项处,将【打开文件时验证签名】的勾去掉,这样就不会运行AdobeCollabSync.exe
| 欢迎光临 批处理之家 (http://bbs.bathome.net/) |
Powered by Discuz! 7.2 |