用EmEditor替换掉Windows自带的记事本方法
前言:EmEditor的功能的确比Windows自带的记事本的功能强悍的不是一星半点,一直想把Windows自带的记事本给替换掉,可是就是没找到方法,看见有人发布了一篇文章,然后用这个灵感,终于将Windows自带的记事本给替换掉了。
下面发布一下原理和方法吧。
提示:此方法可能360等安全软件会扫描到已经替换了的EmEditor为恶意软件什么的,这属于正常,因为您替换了后就更改了Windows的系统文件,360等安全软件扫描的时候自然会报不正常了。
Image File Execution Options就是绿色系统映像劫持技术,这个系统映像劫持技术一般在系统病毒上很常见,所以我们这次用的方法也比较另类,用的原理就是用系统映像劫持技术来实现用EmEditor替换掉Windows自带的记事本,大家一步一步跟着做吧?
Image File Execution Options是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果存在这个参数的话,就运行这个参数中指定的程序,好像是程序调试之用,所以我们只要将这个Debugger值改成我们需要替换的EmEditor就OK了。大家明白了吗?
手动方法:
创建如下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
前言:EmEditor的功能的确比Windows自带的记事本的功能强悍的不是一星半点,一直想把Windows自带的记事本给替换掉,可是就是没找到方法,看见有人发布了一篇文章,然后用这个灵感,终于将Windows自带的记事本给替换掉了。
下面发布一下原理和方法吧。
提示:此方法可能360等安全软件会扫描到已经替换了的EmEditor为恶意软件什么的,这属于正常,因为您替换了后就更改了Windows的系统文件,360等安全软件扫描的时候自然会报不正常了。
Image File Execution Options就是绿色系统映像劫持技术,这个系统映像劫持技术一般在系统病毒上很常见,所以我们这次用的方法也比较另类,用的原理就是用系统映像劫持技术来实现用EmEditor替换掉Windows自带的记事本,大家一步一步跟着做吧?
Image File Execution Options是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果存在这个参数的话,就运行这个参数中指定的程序,好像是程序调试之用,所以我们只要将这个Debugger值改成我们需要替换的EmEditor就OK了。大家明白了吗?
手动方法:
创建如下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
最低0.47元/天 解锁文章
扫一扫
508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
