如果将普通的 .exe 文件复制到 explorer.exe 会发生什么情况?只要 explorer.exe 正在运行,它就会自动运行吗?这似乎是一个重大的安全漏洞……这可能吗?防病毒产品可以防范这类事情吗?
答案1
无法替换正在运行的进程的 exe,因为它已被锁定。由于 explorer.exe 通常会运行,因此它受到此事实的保护。这种保护绝不是完整的,因为很容易终止进程。更重要的是以下其他保护机制:
Windows 中有一个特殊的机制来应对此类攻击/错误:Windows 文件保护。此机制将在任何时候替换时从备份中恢复原始 explorer.exe。
如果您正在运行受限帐户(Vista 或 Windows 7 中的默认帐户),则您根本没有修改系统文件的权限,因为它们受到访问权限的保护。
答案2
您需要拥有管理员级别的帐户才能替换 Windows 文件夹中的文件。如果您已经拥有管理员帐户,那么您已经“拥有”该框并且可以做您想做的事情,这不是安全漏洞。
答案3
您不能同时在 windows 文件夹中拥有两个 explorer.exe 副本。所以,简而言之,这是不可能的。现在,有人可以修改 explorer 以包含病毒,在这种情况下,病毒确实会运行。只要相关病毒在程序的数据库中,任何有能力的防病毒软件都可能检测到它。
答案4
是的,你可以替换explorer.exe。它将代替 运行explorer.exe。
这样做是为了替换默认的 Windows Shell。