无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 2991|回复: 18
打印 上一主题 下一主题

[求助] 用修改注册表的方法替换默认程序

[复制链接]
跳转到指定楼层
1#
发表于 2023-5-5 12:20:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
最近使用notepad2, 用了下面的设置方法, 把默认的记事本给替代了, 但不是替换的notepad.exe文件
但是不管用什么方式, 调用和打开, 都是notepad2 , 即使双击原版的 notepad.exe 打开的还是notepad2.exe
问题来了! 这是怎么做到的?  请求路过大佬, 帮忙找到修改的方法, 因为我想用类似的办法替换另一个程序,




2#
发表于 2023-5-5 12:28:02 | 只看该作者
谢谢楼主分享!
回复

使用道具 举报

3#
发表于 2023-5-5 12:38:59 | 只看该作者
好像是劫持。

点评

用注册表劫持? notepad2是开源的, 懂编程的大佬, 可以看一下源代码 https://github.com/zufuliu/notepad2  详情 回复 发表于 2023-5-5 12:46
回复

使用道具 举报

4#
 楼主| 发表于 2023-5-5 12:46:11 | 只看该作者

用注册表劫持?
notepad2是开源的, 懂编程的大佬, 可以看一下源代码
https://github.com/zufuliu/notepad2

点评

我没有开电脑。。文件在电脑里面  详情 回复 发表于 2023-5-5 13:01
回复

使用道具 举报

5#
发表于 2023-5-5 12:55:13 | 只看该作者
这个是用的映像劫持的老方法实现的。
简单来说,就是系统原来默认运行程序A,现在通过修改Debugger的值,替换执行程序路径,就变成运行程序B了。
具体路径是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
进去看一下就清楚了。

点评

感谢楼主分享  详情 回复 发表于 2024-10-22 22:51
如果,要想把C:\abc\a.exe 劫持到 d:\def\b.exe 应该怎么办呢  详情 回复 发表于 2023-5-5 13:03
多谢大佬指导, 导出后是这样的 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe] "UseFilter"=dword:0000  详情 回复 发表于 2023-5-5 13:01
对了。用脚本的话,7可以直接修改,8和10以上需要管理员权限。  发表于 2023-5-5 12:58
回复

使用道具 举报

6#
 楼主| 发表于 2023-5-5 13:01:26 | 只看该作者
ppll2030 发表于 2023-5-5 12:55
这个是用的映像劫持的老方法实现的。
简单来说,就是系统原来默认运行程序A,现在通过修改Debugger的值, ...

多谢大佬指导, 导出后是这样的
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"UseFilter"=dword:00000000
@="C:\\_Tools\\Notepad2.exe"
"Debugger"="\"C:\\_Tools\\Notepad2.exe\" /z"
回复

使用道具 举报

7#
发表于 2023-5-5 13:01:40 | 只看该作者
2013kyj 发表于 2023-5-5 12:46
用注册表劫持?
notepad2是开源的, 懂编程的大佬, 可以看一下源代码
https://github.com/zufuliu/notep ...

我没有开电脑。。文件在电脑里面
回复

使用道具 举报

8#
 楼主| 发表于 2023-5-5 13:03:34 | 只看该作者
ppll2030 发表于 2023-5-5 12:55
这个是用的映像劫持的老方法实现的。
简单来说,就是系统原来默认运行程序A,现在通过修改Debugger的值, ...

如果,要想把C:\abc\a.exe 劫持到 d:\def\b.exe
应该怎么办呢
回复

使用道具 举报

9#
 楼主| 发表于 2023-5-5 13:04:46 | 只看该作者
我以前看过一文章, 有个叫硬链接的功能, 从win10开始能实现类似的功能, 但我的系统是win7
回复

使用道具 举报

10#
发表于 2023-5-5 14:39:14 | 只看该作者
我没替换,也没有劫持,只是把右键的用记事本打开改了别的notepad
回复

使用道具 举报

11#
发表于 2023-5-6 00:34:40 | 只看该作者
感谢分享
回复

使用道具 举报

12#
发表于 2023-5-6 07:58:34 | 只看该作者
学习了
回复

使用道具 举报

13#
发表于 2023-5-6 08:19:30 | 只看该作者
糊图
回复

使用道具 举报

14#
发表于 2023-5-6 10:01:28 | 只看该作者
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
想恢复原来的设置,直接将这个项下的键值删除即可
回复

使用道具 举报

15#
发表于 2024-10-19 21:00:26 | 只看该作者
学习了
回复

使用道具 举报

16#
发表于 2024-10-22 22:51:36 | 只看该作者
ppll2030 发表于 2023-5-5 12:55
这个是用的映像劫持的老方法实现的。
简单来说,就是系统原来默认运行程序A,现在通过修改Debugger的值, ...

感谢楼主分享
回复

使用道具 举报

17#
发表于 2024-10-23 00:22:29 来自手机 | 只看该作者
本帖最后由 季夏 于 2024-10-23 00:23 编辑

注册表映像劫持
  1. @echo off
  2. cd /d "%~dp0"
  3. echo.
  4. echo 第三方记事本镜像劫持..
  5. reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v "UseFilter" /t REG_DWORD /d 0 /f
  6. reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v "Debugger" /d "%CD%\Notepad3.exe /z"
  7. cls
  8. echo.
  9. pause
复制代码


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-23 06:27

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表