2. 程式人生 > >逆向分析登錄檔特殊路徑解析

逆向分析登錄檔特殊路徑解析

阿新 發佈:2018-11-20
  1. 研究背景: 在做登錄檔路徑解析時,會出現一些特殊路徑。
  2. 從經驗來看,作業系統執行這些特殊路徑的時候,肯定會進行一個搜尋操作。

 

3.開始->執行裡面輸入的命令,最終是由  explorer.exe程序中的 ShellExecuteEx  API 執行的。

 

4.ShellExecute(0,'open','cmd.exe',nil,nil,SW_NORMAL);這裡並沒有寫入 cmd.exe 的全路徑,但是這句程式碼執行後,同樣可以開啟一個 cmd 命令列視窗。

 

5.使用偵錯程式對 ShellExecute 內部彙編函式進行跟蹤。

 

 

 

6.到MSDN 上搜索 SearchPath 函式的資訊。

 

 

 

7.最終跟蹤出來的呼叫流程如下。

ShellExecuteW ->GetEnvironmentVariableW ->SearchPathW->CreateProcessW

 

總結:在解析之前,先獲得環境變數 GetEnvironmentVariable('path')

再使用 SearchPath 函式去搜索指定的檔案路徑即可。

 

 

 

相關推薦

逆向分析特殊路徑解析

研究背景: 在做登錄檔路徑解析時,會出現一些特殊路徑。 從經驗來看,作業系統執行這些特殊路徑的時候,肯定會進行一個搜尋操作。   3.開始->執行裡面輸入的命令,最終是由  explorer.exe程序中的 Shell

安裝pywin32時中無Python3.6安裝路徑解決方法

在安裝pywin32時,出現Python Version 3.6.4 required which was not found in the registry的時候登錄檔中沒有Python3.6.4的安裝路徑。  解決方法: 1.寫一個python檔案,執行即可,在網上找到了登錄檔註冊

Netflix Eureka原始碼分析(13)——eureka server的多級快取過期機制:主動過期+定時過期+被動過期

(1)主動過期 readWriteCacheMap,讀寫快取 有新的服務例項發生註冊、下線、故障的時候,就會去重新整理readWriteCacheMap 比如說現在有一個服務A,ServiceA,有一個新的服務例項,Instance010來註冊了,註冊完了之後,其實必須

Netflix Eureka原始碼分析(19)——eureka server叢集機制原始碼剖析:同步以及高可用

(1)eureka core的BootStrap裡面,有一塊程式碼,是PeerEurekaNodes的程式碼,其實是在處理eureka server叢集資訊的初始化,會執行PeerEurekaNodes.start()方法 public class EurekaBootSt

程式安裝後在中生成的安裝資訊解析

轉:https://blog.csdn.net/thanklife/article/details/76566287 程式安裝後在登錄檔中生成的安裝資訊解析 經常碰到程式無法解除安裝, 就老是罵微軟搞的什麼安裝方式,安裝好了不能解除安裝. 後來就打算研究一下windows是如何解除安裝程

Inno setup製作安裝包時向中寫安裝後的路徑

[Registry] Root:HKLM;Subkey:"Software\scas111";Flags:uninsdeletekeyifempty Root:HKLM;Subkey:"Softwa

中的程式解除安裝路徑

xp、2003等作業系統的新增刪除程式,應該是通過掃描登錄檔“HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\”,見下圖。想

c++獲取中程式的安裝路徑

首先, 我們來檢視登錄檔在執行裡面輸入:regedit開啟登錄檔 然後,我們就看到有幾個主鍵 接著,找到。我們今天要測試的註冊的鍵,glireader,這是我自己的程式註冊的鍵,你們可能沒有, 看到旁邊的URL Protocol了嗎,它裡面的值就是這個程式的安裝路徑

Inno setup 訪問鍵值,獲取軟體安裝路徑

; 指令碼由 Inno Setup 指令碼嚮導 生成!; 有關建立 Inno Setup 指令碼檔案的詳細資料請查閱幫助文件![Setup]; 注: AppId的值為單獨標識該應用程式。; 不要為其他安裝程式使用相同的AppId值。; (生成新的GUID,點選 工具|在IDE

【一起學原始碼-微服務】Nexflix Eureka 原始碼八:EurekaClient抓取 精妙設計分析

前言 前情回顧 上一講 我們通過單元測試 來梳理了EurekaClient是如何註冊到server端,以及server端接收到請求是如何處理的,這裡最重要的關注點是登錄檔的一個數據結構:ConcurrentHashMap<String, Map<String, Lease<InstanceI

xenomai核心解析---核心物件—xnregistry(重要元件)

## 1. 概述 上篇文章[xenomai核心解析--同步互斥機制(一)--優先順序倒置](https://www.cnblogs.com/wsg1100/p/13258107.html)講到,對於所有核心物件: `xnregistry`:儲存核心物件,提供核心物件儲存和快速檢索。 `xnsynch`:

關於sso單點以及通過路徑直接訪問Servlet

split 指定 direct cep 關於 package gin TP array 1.單點登錄代碼 package cn.sunline.filter; import java.io.IOException; import javax.servlet.Filter

VS對應的版本號以及存放位置

各個版本的VS對應的版本號 全程 簡稱 版本號 Microsoft Visual Studio 2002 VS2002 VC7.0 Microsoft

C++/MFC 從中 讀取串列埠

從登錄檔中 讀取串列埠 CComboBox m_nPortList;//列表 int InitComm() { m_nPortList.ResetContent(); HKEY hKEY; LPCTSTR data_Set=_T("HARDWARE\\DEVICEM

修改滑鼠右鍵中新建選單性

1、首先按鍵盤win+R 2、輸入regedit,並點選確認按鈕 3、開啟後如圖所示 4、依次找到:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Discardable\PostSetu

Windows桌面設定

變更“回收站”圖示     1、選擇【開始】→【執行】,在彈出的“執行”對話方塊中輸入regedit命令,並按【Enter】鍵執行,以開啟登錄檔編譯器。     2、依次開啟:HKEY_CLASSES_ROOT\CLSID\{645FF040-5081

DLL注入:使用進行DLL注入

實驗原理 (1)在登錄檔編輯器中,將要注入的DLL的路徑字串寫入AppInt_DLLs專案,把LoadAppInit_DLL的專案值設為1。重啟後,指定DLL會注入所有執行的程序。 (2)其實是,user32.dll被載入到程序時,會讀取AppInit_DLLs登錄檔項,若有值,則呼叫Loa

HTML+CSS第四課:表單標籤的使用-製作

知識點:表單標籤、表單元素 表單在網頁中應用比較廣泛,如申請qq賬號、電子郵箱等,使用者需要首先填寫註冊資訊,然後才能提交;通俗講,表單就是一個將使用者資訊組織起來的容器,將使用者填寫的內容放置在表單容器中,當用戶單擊提交按鈕的時候,表單會將資料統一發送給伺服器! 表單的作用

修改實現程式開機自啟動

修改登錄檔實現程式開機自啟動 2017年09月27日 10:55:37 閱讀數:335 登錄檔簡介 何為登錄檔 登錄檔相當於Windows下的一個龐大的層次性資料庫.  基本上有責系統所有的配置資訊 登錄檔是windows作業系統中的一個核心資料庫,其中存放

WINDOWS是如何在裡記錄碟符分配的

2009-03-30 19:10:11 標籤: windows  登錄檔  碟符  休閒  職場 原創作品,允許轉載,轉載時請務必以超連結形式標明文章  原始出處 、作者資訊和