规则保护之.EXE防止篡改+修复

仁二

win10关联报告
导致效果：无法打开任何exe程序重启无效 360 火绒等主流程序也无法打开 注册表 cmd程序等 只要.exe接连无法开启
修复方案：可使用记事本编辑 编写代码 命名 xx.reg 写入注册表修复[前提规则不默认阻止]
危害级别：中
主打监控 NO防御
相关概括说明：
.exe格式文件 一直是病毒的操作对象 在杀毒、HIPS等高防 面前 病毒可能无力破坏和生成
但为了避免其偷鸡不成蚀把米 破坏不成让你程序无法打开以及使用 本exe防护 可防止exe关联被创改
防止剥夺打开权限 或 转接关联打开启动程序 本规则争对exe关联做出提醒 非阻止 仅提醒

友情提示：
操作这个exe规则有些禁忌 在不确定是情况下不要点记录和不要默认阻止
使用询问 和 不记录 阻止 来进行测试


测试危害方法[请先将以下代码做成注册表备份后在测试]：
HKEY_CURRENT_USER\SOFTWARE\Classes\.exe
把默认的数值exefile改为BomeRst.exe


此挖掘也是在软件自动关联.exe发现的 如果找不到关联文件就会出现接口报错 或关联无法打开则无法启动.exe程序

没有关联程序 注册表相关写法：
相关资料：
http://zhidao.baidu.com/question/1638176014766172740.html

注册表修复代码：

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_CLASSES_ROOT\.exe]
   
4. @="exefile"
   
5. 
   
6. [HKEY_CURRENT_USER\SOFTWARE\Classes\.exe]
   
7. @="exefile"
   
8. 
   
9. [HKEY_CURRENT_USER\SOFTWARE\Classes\VirtualStore\MACHINE\SOFTWARE\Classes\.exe]
   
10. @=hex(2):65,00,78,00,65,00,66,00,69,00,6c,00,65,00,00,00

复制代码

也是之前无意间win10系统 使用Restorator汉化软件 发生的这个问题 导致重启大部分.exe软件无法启动 安全模式无效

感谢http://www.gymsaga.com/project/% ... 4%E8%A7%A3/832.html
之后查询发现早在2011年就有这个事情http://bbs.kafan.cn/thread-1109040-1-1.html
解决这种关联的方法很多 1用修改过后的关联应用打开 2使用注册表代码注入修复关联 3重装系统
另外提供一不重装系统 万一被火绒默认拦截的修复思路
使用USB-PE系统进入系统 修改注册表 或者想办法在火绒保护启动前写入注册表


差点忘了上规则...
值得一提 此规则无法防御驱动级修改 or如 火绒剑 修改

昊情·

Restorator 是BUG吾爱论坛已经出解决方法了

让我倾听

支持下~

bvb09

可以的。。。。。。666

FLY_MC

友情帮顶

cchhuu1

基本上，小白碰上了。改了效果也不大

仁二

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids]
   
4. "exefile"=hex(0):

复制代码

不要记录阻止的就是这里……开机可能导致不能打开任何EXE除了开机已经运行的 解决办法删除 系统防护 自定义防护 自动处理规则 的explorer.exe的这一项HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\*
然后重启

142341

66666!很厉害啊！

仁二

再次进阶升级修复这个帖子……
发现部分卸载软件IObitUninstaller卸载程序后可能导致EXE无法打开 打开出错后提示 不支持此接口
的问题做出进一步修复 发现安装了火绒的人可能无法使用独立版火绒剑 在@FLY_MC 帮助下总算提取成功
之前就是少了个usysdiag.exe收集日志用的还是啥打开HRSword.com这个就是防止exe无法打开我特地修改的
然后这个火绒剑可能因火绒版本升级而失效 具体提取方法是看下载更新日志需要那些把那些复制出来 然后多提取个上面说的usysdiag就行
以上防护没有防止这里 因为这个在基础规则里面是有保护到的即默认打开方式创改

删除.zip解压 因为是用7z压的……这个解压后可能也是无法导入的 需要模仿手动添加包含《"%1" %*》的部分
然后火绒剑具体注册表操作的方法是 随便右击个注册表位置 定位到注册表打开注册表编辑器做添加 如果添加失效无用可能还需要智能修改替换windows目录下的regedit.exe复制到syswow64下的regedit具体方法……先用火绒剑"诊断工具文件操作"重命名 然后再复制进去 默认系统识别的是windows目录下的regedit操作修复后记得删除syswow64下的然后重命名未来 具体这部可否省略看实际情况也是前一段时间发现的最新win10的BUG 还有如果真的遇到这个问题可以跟贴咨询

仁二

补贴一下楼上注册表的代码 不过这是win10的 不过我想win7应该也能用 但是这个还不算所有exe修复项

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_CLASSES_ROOT\exefile]
   
4. @="Application"
   
5. "EditFlags"=hex:38,07,00,00
   
6. "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
   
7.   00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
   
8.   32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\
   
9.   00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00
   
10. 
    
11. [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    
12. @="%1"
    
13. 
    
14. [HKEY_CLASSES_ROOT\exefile\shell]
    
15. 
    
16. [HKEY_CLASSES_ROOT\exefile\shell\open]
    
17. "EditFlags"=hex:00,00,00,00
    
18. 
    
19. [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    
20. @=""%1" %*"
    
21. "IsolatedCommand"=""%1" %*"
    
22. 
    
23. [HKEY_CLASSES_ROOT\exefile\shell\runas]
    
24. "HasLUAShield"=""
    
25. 
    
26. [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    
27. @=""%1" %*"
    
28. "IsolatedCommand"=""%1" %*"
    
29. 
    
30. [HKEY_CLASSES_ROOT\exefile\shell\runas2]
    
31. @="管理员取得所有权"
    
32. "IsolatedCommand"="cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F"
    
33. "NoWorkingDirectory"=""
    
34. 
    
35. [HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
    
36. @="cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F"
    
37. "IsolatedCommand"="cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F"
    
38. 
    
39. [HKEY_CLASSES_ROOT\exefile\shell\runasuser]
    
40. @="@shell32.dll,-50944"
    
41. "Extended"=""
    
42. "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"
    
43. 
    
44. [HKEY_CLASSES_ROOT\exefile\shell\runasuser\command]
    
45. "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"
    
46. 
    
47. [HKEY_CLASSES_ROOT\exefile\shellex]
    
48. 
    
49. [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers]
    
50. @="Compatibility"
    
51. 
    
52. [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\Compatibility]
    
53. @="{1d27f844-3a1f-4410-85ac-14651078412d}"
    
54. 
    
55. [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\PintoStartScreen]
    
56. @="{470C0EBD-5D73-4d58-9CED-E91E22E23282}"
    
57. 
    
58. [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
    
59. @="{86C86720-42A0-1069-A2E8-08002B30309D}"
    
60. 
    
61. [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
    
62. 
    
63. [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
    
64. @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
    
65. 
    

复制代码

仁二

补贴一下楼上注册表的代码 不过这是win10的 不过我想win7应该也能用 但是这个还不算所有exe修复项

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_CLASSES_ROOT\exefile]
   
4. @="Application"
   
5. "EditFlags"=hex:38,07,00,00
   
6. "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
   
7.   00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
   
8.   32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\
   
9.   00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00
   
10. 
    
11. [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    
12. @="%1"
    
13. 
    
14. [HKEY_CLASSES_ROOT\exefile\shell]
    
15. 
    
16. [HKEY_CLASSES_ROOT\exefile\shell\open]
    
17. "EditFlags"=hex:00,00,00,00
    
18. 
    
19. [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    
20. @=""%1" %*"
    
21. "IsolatedCommand"=""%1" %*"
    
22. 
    
23. [HKEY_CLASSES_ROOT\exefile\shell\runas]
    
24. "HasLUAShield"=""
    
25. 
    
26. [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    
27. @=""%1" %*"
    
28. "IsolatedCommand"=""%1" %*"
    
29. 
    
30. [HKEY_CLASSES_ROOT\exefile\shell\runas2]
    
31. @="管理员取得所有权"
    
32. "IsolatedCommand"="cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F"
    
33. "NoWorkingDirectory"=""
    
34. 
    
35. [HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
    
36. @="cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F"
    
37. "IsolatedCommand"="cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F"
    
38. 
    
39. [HKEY_CLASSES_ROOT\exefile\shell\runasuser]
    
40. @="@shell32.dll,-50944"
    
41. "Extended"=""
    
42. "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"
    
43. 
    
44. [HKEY_CLASSES_ROOT\exefile\shell\runasuser\command]
    
45. "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"
    
46. 
    
47. [HKEY_CLASSES_ROOT\exefile\shellex]
    
48. 
    
49. [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers]
    
50. @="Compatibility"
    
51. 
    
52. [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\Compatibility]
    
53. @="{1d27f844-3a1f-4410-85ac-14651078412d}"
    
54. 
    
55. [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\PintoStartScreen]
    
56. @="{470C0EBD-5D73-4d58-9CED-E91E22E23282}"
    
57. 
    
58. [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
    
59. @="{86C86720-42A0-1069-A2E8-08002B30309D}"
    
60. 
    
61. [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
    
62. 
    
63. [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
    
64. @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
    
65. 
    

复制代码

z5923889

感谢分享~~~~~!

风尘侠

感谢分享

liugz1106

我是新新的小白，实在看不动啊，通过各种连接看到您的帖子。我系统是刚刚升级的win10 1709，刚刚在系统的重制默认应用之后，出现这个问题，所有的exe程序都不能用，包括com也用不了，实在不想重装系统啊，请高手回复

shenchang

谢谢楼主分享