操作系统:Windows 10 LTSB(64位)
目前我正在研究白名单计划。
这是我的问题。
所以基本上他们是我的白名单中不同的程序。但无论如何,我将它们都添加到了我的白名单中。
我尝试编辑批处理文件,触发notepad.exe执行。但我的白名单程序会阻止执行notepad.exe,因为notepad.exe来自c:\ windows \ system32 \ notepad.exe但哈希值为[da0acee8f60a460 ... 10a]。
但是,如果我再次检查System32中notepad.exe的哈希值,它与之前的相同,即[9cd1c3d00ae15068 ... 74a]。
似乎winSxS中的notepad.exe在被触发时被复制到system32。这是它如何适用于系统程序?
顺便说一下,32位的Windows 7没有发生
我发现这不是WinSxS文件造成这种混乱。这是sysWow64。
基本上,windows10提供sysWow64目录来模拟64位程序为32位。 windows10自动将对system32的访问重定向到sysWow64。
因此,当我在System32中计算notepad.exe的哈希值时,操作系统会自动将我重定向到sysWow64中的notepad.exe。因此,我的列表中的哈希值记录[9cd1c3d00ae15068 ... 74a],但真正的哈希值是[da0acee8f60a460 ... 10a]
希望这对任何遇到类似麻烦的人都有帮助。