Re: [軟體] Combofix (  ̄ c ̄)y▂ξ
我簡單說明一下bug好了,目前發現的
應該還有但我不清楚他運作所以不知道問題出在哪
要看作者本身了...
位置是出在SetEnvmt.bat上面
這個是現在Combofix用來提取環境變數並設定變數用的批次檔案
我大概測了一下他是在提取
hklm\software\microsoft\windows\currentversion\explorer\shell folders
hkcu
之後再使用DumpHive提取裡面的文字,Dumphive我不清楚他的用途
但提取出來之後
碰到中文時有些位置會不對
EX:
"CommonAdministrativeTools=C:\DOCUME~1\ALLUSE~1\???~1\???\???~1"
"CommonProgramsB=C:\\Documents and Settings\\All Users\\「開始」功\能表\\程式
集"
"DefaultStartupB=C:\\WINDOWS\\system32\\config\\systemprofile\\「開始」功\能表
\\程式集\\啟動"
這是部份,還有一些
可以看到因為中文的關係結果造成環境變數設定上去的時候可能會出錯
前面有提過Combofix是用批次方式去跑的,這一錯後面抓取的東西多多少少都會有出錯
的情形發生。
我這邊測了之後就發現Common startup的值被改成英文作業系統的值
也因為這邊的值改了所以所有放在程式集\啟動內的檔案都不會執行
因為對應的位置已經變掉了...
目前我在研究要怎麼讓環境變數回復,回復簡單但是要抓取正確的值很困難0rz
頭大....現在又頭痛的要死______0rz
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.68.130.155
推
07/16 20:31, , 1F
07/16 20:31, 1F
→
07/16 20:51, , 2F
07/16 20:51, 2F
→
07/16 20:51, , 3F
07/16 20:51, 3F
推
07/16 21:52, , 4F
07/16 21:52, 4F
→
07/16 21:53, , 5F
07/16 21:53, 5F
→
07/16 22:01, , 6F
07/16 22:01, 6F
推
07/17 12:55, , 7F
07/17 12:55, 7F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 3 篇):