|
|
刚刚在UBCD4WIN光盘发现RunScanner,发现许多XP下的部分软件通过RunScanner运行就可以在PE下离线修改目标XP.
WinPE下离线维护系统不得不用的辅助工具!
默认情况下启动Runscanner将扫描所有驱动器上寻找Boot.ini文件。目录中的Windows安装会发现从默认进入任
何找到Boot.ini文件。这将是假定同一驱动器上的Boot.ini文件。如果有多个这样的目录中发现然后将提示您
选择其中之一。如果只有一个发现然后将加载注册表配置单元。如果没有找到然后将提示您选择Windows安装目
录。最后你将询问您是否要加载用户配置文件。随后列出用户列表,您将需要从适当的用户选择Ntuser.dat文
件。见下面的参数选项,允许的默认行为被否决。
在注册表配置单元已加载,要运行的程序将启动和RunScannerDLL.DLL将注入在该进程。在默认超时10秒所有注
册表访问将被重定向到适当的加载配置单元。时间内是允许的应用程序初始化时使用WinPE注册表。 Webroot
Spysweeper似乎是对这个超时时间非常敏感。目标程序可能出现无响应或出错退出。
以下是Runscanner运行参数:
RunScanner {/ac}{/cp}{/d}{/lu}{/lw}{/m}{/m+}{/max}{/n}{/ns}{/s}{/sd}{/sv}{/t <超时时间>}{/q}{/u <
用户配置单元hive>}{/v}{/w <windows安装目录>}{/x}{/xe}{/xn}{/xs}{/xw}{/y}<要运行的程序>
各参数详解:
/ac 如果只有一个真实的用户配置文件,如果发现那么这将自动设置到HKCU hive而不显示选择用户对话框。
/cp 直接启动任何进程的目标过程中都会对它们进行注册表重定向。
/d 将从目标的进程输出调试信息。
/lu 自动加载上次选择的用户配置文件,上次选择的用户配置文件信息保存在
[HKLM\Software\Paraglider\Runscanner]
/lw 自动选择上次选择的Windows安装目录,上次选择的Windows安装目录信息保存在
[HKLM\Software\Paraglider\Runscanner]
/m 自动加载选择用户后剩下的用户配置文件到HKEY_USERS,但重定向HKCU到选择的用户配置文件,有些反间
谍软件如Ad-aware会扫描加载到HKEY_USERS的所有用户。
/m+ 之后提示用户配置文件是用于重定向HKCU然后其余所有远程用户配置文件被加载。
/max以最大化窗口运行目标程序
/n 不加载用户配置文件,只加载SYSTEM、SOFTWARE等配置单元,并对目标程序注册表重定向。
/ns 如果启动驱动器的驱动器不包含runscanner的目标程序然后将执行的注册表重定向。
/s 自动扫描的Boot.ini文件将被取消,该参数将显示一个对话框,询问的Windows安装目录被选中。
/sd 扫描所有根目录所有驱动器上寻找Windows安装目录
/sv 使用bcdedit.exe扫描BCD来寻找Windows安装目录
/t <超时时间> 指定在这个时间内目标程序可以访问WinPE注册表,超过该时间就进行注册表重定向。
/q runscanner加载注册表配置单元之前runscanner会询问您是否要加载远程注册表。如果您没有作出反应的
,目标程序将直接运行而不进行注册表重定向。
/u <用户配置单元hive> 手动指定用户配置单元
/w <windows安装目录> 手动指定Windows安装目录
/v 重定向所有变量,如%ProgramFiles%
/x 在ExpandEnvironmentStrings函数拦截,如果字符串开始<driveletter>:驱动器代号是取代盘符对应的驱
动器盘符,将使用在目标操作系统。此外,如果该字符串开头的相对路径或没有驱动器的路径信息,然后扩展
到使相对路径的目标Windows目录。这主要是为Sysinternals autoruns程序解决问题的。此选项可能导致程序
崩溃或与其他程序产生其他奇怪的行为。
/xe 不拦截RegEnumX函数
/xn 如果没有自动扫描被发现的Windows安装目录,RunScanner将退出不提示手动选定的Windows安装目录
/xs 把%SystemRoot%\System32\shell32.dll扩展到启动驱动器而不是目标驱动器。用于ccleaner
/xw 不拦截GetWindowsDirectory函数。
/y 直接弹出询问选择用户对话框而不询问是否加载用户配置文件。
请注意,在/t /u和/w 的参数之一,更多的空间可以单独选项和选项值。如果该选项值包含空格那么就应该把
它包含在双引号。
例如:
RunScanner /t 5000 /u "C:\Documents and Settings\Administrator\NTUSER.DAT" /w c:\windows Ad-
Aware.exe
高级使用:
1. Runscanner还允许其他选项指明通过WinPE注册表。下面的注册表设置,目前支持:设置哪些不为目标程序
重定向的注册表项
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<目标程序>]
"HKLM"="<注册表项1>"
"HKCU"="<注册表项2>"
或
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<目标程序>\HKLM]
"<注册表项1>"=""
"<注册表项2>"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<目标程序>\HKCU]
"<注册表项1>"=""
"<注册表项2>"=""
每个控制程序也可以选择允许指定的注册表项及其子键没有被重定向到远程的hive。你可以指定一个
HKEY_LOCAL_MACHINE项和一个HKEY_CURRENT_USER项不被重定向。程序名称(包括扩展名)是用来选取注册表值
用来控制此功能.
HKLM代表HKEY_LOCAL_MACHINE
HKCU代表HKEY_CURRENT_USER
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\arswp.exe]
"HKLM"="SOFTWARE\\360Safe"
或者
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\arswp.exe\HKLM]
"SOFTWARE\\arswp"=""
该控制的是:不对注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\arswp]进行重定向,即目标进程arswp.exe可
以读写WinPE的注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\arswp],而不是读写离线系统的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\arswp]
2. 注册表值直接允许RunScanner加载注册表配置单元的名称改名。所有这些值都是可选的。如果该值指定然后
定义的格式名称加载注册表配置单元。每种格式最多可以有两个替代值%s %c (必须是小写) 。
%s 是代替hive类型( SOFTWARE, SYSTEM, SECURITY, SAM, DEFAULT or <User Name 0> ..... <User Name N>
).
%c 是代替配置单元文件所在的驱动器盘符
默认格式为%s_ON_%c,例如远程SOFTWARE配置单元这将是SOFTWARE_ON_E 。因此,如果您要加载远程SOFTWARE
配置单元命名为FRED,请在注册表项设置:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner]
"Software"="FRED"
如果你想像"DRIVE_C_SOFTWARE"这样加载它然后你使用"DRIVE_%c_%s"等...
3.某些程序需要启动服务。正如runscanner调试不通知服务启动时,那么它通常不能对服务进行注册表重定向
。一个新的功能现在可以监测一个指定的服务启动并注入RunScannerDLL.DLL到该服务时,服务启动。这是由以
下注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Paraglider\RunScanner\<Program Name>]
"Monitor"="<Service Name>"
请注意,<Service Name>是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下服务名称
[ 本帖最后由 zhhsh 于 2011-6-4 21:35 编辑 ] |
评分
-
查看全部评分
|
[复制链接]
IP卡
狗仔卡
发表于 2008-11-28 18:03:23
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
