关于禁止程序运行!!

chengjinn

http://autoitx.com/forum.php?mod ... age%3D10&page=1
这里论坛上面一位老兄的一个禁止程序运行的脚本.`.
我下载后试着看了一下.
有一点不知道是怎么实现的.
程序读取INI配置后,添加注册表映象劫持..
但是指定的文字是本身的SMSS.exe文件啊.
为何运行被禁止的程序通过注册表来运行SMSS.exe会弹出MSGBOX窗口.
而手动运行程序会重复运行.不会弹出窗口呢?
不知道有没有高手知道答案....希望有高手给我指点下迷经.>!!!<

pusofalse

楼主你猜？。。。^_^

chengjinn

楼上的,,,怎么老是叫我猜啊.`..`猜得到还用来求助吗?

free168

禁止程序都是根据窗口 标题来禁止的  改个名字就可以用了  
不知道能不能根据特征码来禁止

pusofalse

Re chengjinn:
我本是非常想帮你的，但是因为每次你求助完之后，帖子都不了了之，也不报告回答者测试信息，就这样一闪走人。因为这样，我就想让你自己猜了啊。你再这样下去，我看谁还会帮你。-,-

chengjinn

晕死. .....
我自我感觉每次问的都是很白的问题.
就没有必要上来贴下我的想法吧(主要我的想法太不高级啊.自已都不晓得怎么用语言来承诉他,)
我说呢你每次都要我猜..原来是对我有意见啊.!!

pusofalse

Msgbox的窗口其实就是smss.exe创建的啊。
smss.exe向注册表添加notepad.exe项，Debugger的值指向smss.exe自身路径，任何以notepad.exe运行的程序都会以smss.exe运行，而smss.exe只会弹出一个对话框拒绝程序执行。
这里的smss.exe并非系统进程smss.exe，用这个名字只是带有一些迷惑性质吧。

abendessen

我也想要，能加我吗

chengjinn

Msgbox的窗口其实就是smss.exe创建的啊。
smss.exe向注册表添加notepad.exe项，Debugger的值指向smss.exe自身路径，任何以notepad.exe运行的程序都会以smss.exe运行，而smss.exe只会弹出一个对话框拒绝程序执行。
...
pusofalse 发表于 2009-8-27 18:48

你说的我都知道.
但是..
SMSS.EXE向注册表添加notepad.exe项..BEBUGGER指向SMSS.EXE..那么运行NOTEPAD.EXE.实际启动SMSS.EXE脚本.脚本弹出MSGBOX信息.
那么这样的话.我们手动运行SMSS.EXE脚本.照理是提示MSGBOX窗口啊.
而不是重复运行.但实际测试却是相反.所以一直想不明白!!!
而且.BUGGER指向SMSS.EXE 进程是不会出现NOTEPAD.EXE进程.
他是依据什么来弹出MSGBOX.就是MSGBOX的运行条件是什么.?
我想到的只有检测进程是否存在SMSS.EXE.如果存在则提示该进程被禁止.
但是这一点有两点不通.一为以上承诉..
二为系统进程也有SMSS.EXE的存在.!!!..
实在是想不通作者怎么实现的.

pusofalse

Re 10#:
根据$CmdLine[0] 来判断的，你可以在映像劫持项中添加notepad.exe，debugger指向以下程序：

If $CmdLine[0] = 0 Then
    ; 读取ini文件添加注册表项
    Exit
Else
    For $i = 1 to $CmdLine[0]
          Msgbox(0, $i, $CmdLine[$i])
    Next
    ; 弹出拒绝访问对话框，也可以写一些其他代码。
    Msgbox(16, "Error", "Error access denied.")
EndIf

以上代码要先编译为exe。
第二点，没有任何意义，你可以把以上代码编译后将文件名改为winlogon.exe试下。

netegg

哥们用鼠标右键看看smss.exe的描述就知道了

chengjinn

我明白了...多谢pusofalse 给我指点迷经..
原来在注册表里添加映象劫持
例如: 添加qq.exe   debugger 数据为svchost.exe
那么启动QQ 也就等于是运行svchost.exe /qq的绝对路径...
换之脚本也就是一样的道理.!!!

pusofalse

Re 13#:
不必客气，共同进步。^_^