2019-09-14更新:本文已经在新博客重新整理发布,请各位读者移步。
process explorer有个功能是替换任务管理器,它是怎么实现的呢???
windows有个注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options,用来给调试器用的。当指定的程序A启动的时候,系统会用debugger项指定的文件启动A。
以taskmgr.exe为例,如下图
当taskmgr.exe启动的时候会用C:MYSYSINTERNALSPROCEXP.EXE启动之,并且procexp.exe启动的时候,会有一个命令行参数(taskmgr.exe的路径)"C:WINDOWSSYSTEM32TASKMGR.EXE",如下图
注意:上图中的Path是C:UserscnAppDataLocalTempPROCEXP64.exe,这是procexp会根据系统位数自动启动对应位数的程序。
bonus:
- 具体过程都可以通过procmon.exe来观察。
- 把下列代码保存成taskmgr.reg,导入到注册表即可,注意debugger后面的值要替换成你机器上的路径
WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage FileExecutionOptions askmgr.exe]"Debugger"=""C:\MY\SYSINTERNALS\PROCEXP.EXE""