科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道一个键值让文件在重启过程中全替换

一个键值让文件在重启过程中全替换

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

大家都知道,在Windows里,正在使用的文件是无法删除或者替换的,这些操作只会被告知“文件正在被占用,无法删除”,不过如果那样的话,系统文件在一启动的时候就被占用,Windows Update更新程序又是怎么替换这些文件的呢?其实,乾坤全在注册表的一个小小键值中。

来源:论坛整理 2008年7月7日

关键字: 安全防范 安全技术 系统安全

  • 评论
  • 分享微博
  • 分享邮件
   大家都知道,在Windows里,正在使用的文件是无法删除或者替换的,这些操作只会被告知“文件正在被占用,无法删除”,不过如果那样的话,系统文件在一启动的时候就被占用,Windows Update更新程序又是怎么替换这些文件的呢?其实,乾坤全在注册表的一个小小键值中。

多数需要修改系统文件的安装程序,都会在系统重启前向注册表的“自动替换项”中写入键值,具体位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]下的“PendingFileRenameOperations”项(见图)。


这是Windows 2000/XP需要在重启过程中替换或修改正在使用的文件时用到的键值,即当系统要在重启时替换或修改正在使用的文件,就会写入此键值,第一行“\??\C:\abc”中“abc”就是替换前的文件,后一行的“!\??\C:\Windows\abc”表示替换后的文件。通常在安装驱动、软件时,需要修改系统文件时才会建立此键值,而平时是没有的。利用此机制可以替换正在使用的文件,以此修复损坏的系统文件,或者将eXeScope修改过的程序文件替换原有的文件(替换系统文件可能要关闭系统文件保护,可利用XPLite等工具)。而木马也可能利用此键值来替代正常的系统文件,从而金蝉脱壳死而复生。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章