Windows XP PRO SP3-停止对未知程序设置的安全软件注册表项的更改

我发现这个wugnet.com 上的缓存帖子

重要警告：不要访问原始 wugnet 域名。我执行的 Google 搜索让我找到了一个受污染的链接，该链接通过另一个 URL 指向第三个显示 AdultFriendFinder 广告的链接

-引用-

它是 NT 对象管理器在启动过程中创建的命名空间子目录。此子目录中的命名对象是指向 Win32 API 可访问的对象管理器资源的符号链接。例如，C: 可能是 \Device\HardiskVolume1 的符号链接，当对 C: 上的文件进行 Win32 调用时，Win32 子系统会将其转换为 \??\C:，对象管理器会在 \?? 子目录中找到符号链接并找到文件所在的设备对象。

您可以使用 SysInternals 的 WinObj 实用程序更好地了解对象命名空间的组织方式：
http://technet.microsoft.com/en-us/sysinternals/bb896657.aspx

我猜想，对象管理器 \?? 子目录的完整路径之所以用在注册表值中，是因为在启动过程中处理这些注册表项时，Win32 子系统可能尚未完全初始化，因此，如果没有路径的 \?? 部分，启动过程将无法解析这些注册表值中引用的路径。大多数 \?? 路径位于 HKEY_LOCAL_MACHINE\SYSTEM 键中，如果没有完整路径，计算机可能无法启动，或者即使启动，也会在严重受损的状态下启动。

-引言结束-

如果这是真的，你的陈述“这实际上禁用了...”是值得怀疑的。你真的观察与这些注册表项相关的软件无法正常运行？
如果不是，你应该将问题标题改为类似注册表项中的文件路径前面有神秘的双问号？

---

补充说明 1
Wugnet 是一个奇怪的网站，该页面似乎是从pcreview.co.uk

补充说明 2
请不要将这个问题与网络上流传的另一个问题混淆路径中的单个问号代替冒号。我把这个也包括进去了，尽管它看起来似乎不相关（但我可能是错的）。以下用户在注册表项中发现了奇怪的 C?\ 值这可能是 MS 的一个错误，手动修复后问题就消失了（很长的帖子，好几页）。帖子提到导入/导出密钥以快速修复它们（但在你的情况下不需要这样做，因为那里没有任何问题）。原始发帖人写道：安装新应用程序时，会继续创建新的“损坏”注册表项，但更正的注册表项似乎保持不变。

谢谢您的回复。

MBu 我将尝试进程监视器，但不知道如何使用它来跟踪注册表中图像路径的变化。

Jan 是的，毫无疑问，它们是可观察和可证明的实例，太多了，提到了以 \??\ 开头的图像路径会影响相关“安全程序”的正常运行。它们不仅添加到我的 C: 驱动器上的项目的图像路径中，还添加到实际的驱动程序位置中。我的大多数程序都安装在 D:/Program Files 中。

执行重要安全相关功能的服务驱动程序（sys 文件）的映像路径被攻击并被改变，这绝非巧合。

现在刚刚发生了这种情况，当计算机开启几个小时后（因此系统必须完全初始化），在我删除会话开始时的 \??\ 后，该值被更改为：

\??\C:\WINDOWS\system32\drivers\ksapi.sys

奇怪的是，在 Google 中搜索 \??\ 时，它显示 - 您的搜索 - \??\ - 没有匹配任何文档。无论如何，我会调查 WinObj 实用程序，看看是否能提供任何帮助。

至于 C?\ 条目，我也找到了它们并手动将它们更改为 C:\，但感谢您提供的帖子，它似乎是一个更有效的解决方案 - 希望在 XP 中有效。

再次欢呼并表示感谢。搜索仍在继续。