[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
注冊表的這個項大家可能還不太熟悉
先做個實驗
E:\>test
test
E:\>test
test
Windows NT系統在執行一個從命令行調用的可執行文件運行請求時
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
如果存在
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
如果存在
cmd
cmd
如果
系統在運行任何一個可執行程序時都會先檢查這個鍵值
這個項支持的值
ApplicationGoo
Debugger
PageHeapFlags
DisableHeapLookAside
DebugProcessHeapOnly
PageHeapSizeRangeStart
PageHeapSizeRangeEnd
PageHeapRandomProbability
PageHeapDllRangeStart
PageHeapDllRangeEnd
GlobalFlag
BreakOnDllLoad
這些項的工作都只與文件名有關
其中
關於DisableHeapLookAside更多的信息請參考微軟知識庫
有趣的是
enc
f
prwin
ps
qfinder
qpw
ua
wpwin
大概是微軟收到了有關這些應用程序運行異常的報告吧:
BreakOnDllLoad 是用來調試DLL的
ApplicationGoo我沒有找到相關資料
剩下來的這幾個值雖然我知道它們是確實存在的
附加信息
在XP中
Leak Detection when the Process Is Exiting
Leak detection is made every time a process is cleanly exiting
It doesn
or TerminateThread() / ExitThread() for the last thread in the process;
but for most applications this is not a problem
To enable leak detection when the process is exiting
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
From:http://tw.wingwit.com/Article/os/xtgl/201311/9171.html