Как подменить программу в Windows?

В статье рассматривается настройка реестра Windows, с помощью которой можно подменить программу, заставив по двойному щелчку мыши запускаться другому приложению.

Категорию статей с похожими настройками можно обнаружить в разделе

ТРЮКИ В WINDOWS

В одной из статей блога я рассматривал Как запретить запуск программы в Windows, и несколько дней назад передо мной стала схожая задача, но целью уже ставилась возможность подменить программу одну на другую. То есть жертва запускает полюбившуюся программу, ярлык которой, допустим, на своём привычном месте, но запускается программа другая… Например, запускает Chrome – появляется Блокнот. Сбивает с толку, правда?  И причин не найти.




Нам нужен редактор реестра. Попасть туда вы сможете с помощью встроенного редактора regedit, я это делаю быстрее после установки утилитки regjump. Вобщем, ищем ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

ПОЯСНЕНИЯ

Если вас встречает ошибка переименования только что созданных разделов или параметров реестра (ошибка маловероятна, если вы – единственный пользователь системы):редактору реестра не удаётся переименовать

обратитесь к статьям:

Как получить полные права к любой папке и файлу в Windows

и

Утеря прав администратора. Как вернуть права над системой?

Так как вы, даже являясь администратором системы или принадлежа к этой группе, можете оказаться ограниченными в правах пользования некоторыми утилитами системы, появление запрета на некоторые действия с реестром обосновано. Вот что может администратор моей сборки ОС конкретно в реестре:

редактирование реестра ограничено
прав для внесения изменений недостаточно…




Описываемая в статьях по ссылкам сверху информация вам получить или скорректировать набор прав на нужные папки, а заодно и на редактирование и внесение изменений в разрешения:

снять ограничение на работу с реестром

По нажатии на Применить и ОК, окно Свойств во вкладке Безопасность приняло вид:

полный доступ к реестру windows

Но мы отвлеклись от главной задачи. Что это за ветка реестра?

Как подменить программу в Windows? Что за функция?

В операционной системе Windows давно существует функция, позволяющая разработчикам ПО отлаживать программы под данную ОС. Она получила название Опции исполнения файла образа (задачи) или IFEO. Раздел реестра, в котором мы оказались, для того и служит. Разработчик может прикрепить любую программу к любому исполнительному файлу, используя ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{имя исполнительного файла}

и придав ему значение:

“Debugger”=”{полный путь к отладчику}”

Некоторые из системных утилит Windows, доступных для скачивания, но в сборку изначально не входящих, имеют такую функцию (прямо подменить программу), и она доступна прямо из панели команд. Так, утилита Process Explorer, принадлежащая Windows, официально рекомендуется Microsoft к использованию в качестве более информативной альтернативы Диспетчеру задач. По предлагаемой ссылке вы можете найти её в статье “Какой процесс нагружает жёсткий диск?” и скачать с официального сайта. А вот и кнопка подмены в утилите (так и называется):




как подменить программу

Нажмём на неё, подтвердим действо в UAC, и теперь каким бы образом мы не попробовали вызвать Диспетчер задач, появится окно Process Explorer (повторное нажатие на кнопку вернёт всё на свои места). Посмотрим, как это нашло отражение в искомой ветке реестра. А там, в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

появился новый подраздел taskmgr.exe (имя исполнительного файла, который будет подменяться), а в нём – строковый параметр Debugger со значением

“C:\USERS\1-Комп\DESKTOP\Ярлыки\PROCEXP.EXE”

Как вы поняли, он отражает полный путь к процессу (у меня Process Explorer, как видите, лежит на Рабочем столе в папке Ярлыки), который будет призван подменить программу на нужную нам:

debugger в реестре
нажмите, чтобы увеличить

Думаю, без дальнейших объяснений можно обойтись. IFEO функция обладает очень широким функционалом, в том числе и вычленения зловредных процессов в системе. И наоборот, вкрапления зловреда в систему. Однако в рамках названия статьи позволю себе тему закончить.

Успехов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Максимальный размер загружаемого файла: 50 МБ. Вы можете загрузить: изображение, видео. Ссылки на YouTube, Facebook, Twitter и другие сервисы, вставленные в текст комментария, будут автоматически встроены. Перетащите файлы сюда