Скопіюйте .exe до Explorer.exe

2

Що станеться, якщо звичайний .exe-файл буде скопійовано до explorer.exe? Чи буде він працювати автоматично, якщо запущено explorer.exe? Це схоже на серйозну дірку безпеки ... чи можливо це? Чи захищають антивірусні продукти від цих типів речей?

windows windows-explorer

— Der Hochstapler
джерело

3

Неможливо замінити exe запущеного процесу, оскільки він заблокований. Як звичайно працює explorer.exe, він захищений цим фактом. Цей захист аж ніяк не є повним, оскільки цей процес легко убити. Більш важливі інші механізми захисту нижче:
Існує спеціальний механізм в Windows, реалізований проти цього типу атак / помилок: Захист файлів Windows . Цей механізм відновить оригінальний файл explorer.exe з резервної копії кожного разу, коли вона буде замінена.
якщо ви працюєте з обмеженим обліковим записом (за промовчанням у Vista або Windows 7), у вас взагалі немає прав для зміни системних файлів, вони захищені правами доступу.

— Suma
джерело

1

Незначна корекція. Explorer.exe не запускається, якщо хоча б один користувач не ввійшов до машини. І навіть як тільки він запущений, він працює в контексті користувача, тому процес може бути убитий. Ваші інші пункти дійсні.

— Ryan Bolger

Ви можете замінити запущену програму, спочатку перейменувавши виконуваний файл і скопіювавши новий.

— Joey

Може бути, я помиляюся про це, але вам не потрібно explorer.exe працює для копіювання файлу? Навіть якщо ви виконували функцію копіювання віддалено, використовуючи шляхи UNC, я все ще вважаю, що дослідник повинен працювати на кінцевому ПК, щоб завершити процес копіювання. У будь-якому випадку, якщо цей тип атаки був здійсненним, ми побачили б його в дикій природі. Я займаюся ІТ-підтримкою більше десяти років і ніколи не бачив експлуатата, який використовував заміну explorer.exe.

— Geruta

1

Щоб замінити файли в папці Windows, потрібно мати обліковий запис на рівні адміністратора. Якщо ви вже маєте обліковий запис адміністратора, ви все одно "володієте" вікном і можете робити те, що ви хочете, це не діра безпеки.

— GAThrawn
джерело

0

Ви не можете мати дві копії explorer.exe у папці Windows одночасно. Отже, коротше кажучи, не можна. Тепер, хтось міг би змінити explorer, щоб містити вірус, і в цьому випадку так буде працювати. Це, швидше за все, буде виявлено будь-яким компетентним антивірусним програмним забезпеченням, якщо цей вірус знаходиться в базі даних програми.

— nhinkle
джерело

Що робити, якщо файл exe копіюється в оригінальний файл explorer.exe? так що все ще є оригінал, але є інший exe скопійований до нього. так що є тільки один explorer.exe. Чи можливо це, навіть якщо запущено explorer.exe?

1

Ні, якщо дослідник активно працює, немає. Що відбудеться, це те, що звичайний explorer.exe більше не буде там, і ви негайно помітите, коли вікна завантажуються в щось інше, ніж Explorer. Майте на увазі, що з захистом файлів Windows критичні системні файли, такі як провідник, не можуть бути замінені без довгих тривалих рівнів, які система попередить. Він буде фактично автоматично повернути оригінальний explorer.exe, якщо він може.

— nhinkle

0

Я впевнений, що запуск процесу блокування будь-яких файлів, які використовуються цим процесом.

— RichN
джерело

0

Так, можна замінити explorer.exe. Він буде запускатися замість explorer.exe.

Це робиться для Заміна оболонки за промовчанням .

— Egon
джерело

4

...! Там є ключ реєстру, який контролює те, що оболонка починається під час завантаження, ви ніколи не повинні замінювати explorer.exe без дуже гарної причини!

— Phoshi

@Phoshi Я повністю згоден ...

— Egon

Це також робиться для запуску системи в режимі Kiosk, де ви тільки бажаєте, щоб користувач міг запускати дуже специфічний набір програмного забезпечення, і це те, що я часто бачив, коли система повинна бути захищена від користувачів, які використовують інше програмне забезпечення або встановлюють речі, які можуть порушити систему. en.wikipedia.org/wiki/Kiosk_software

— Mokubai