Ручное редактирование списка доверительных программ для службы блокирования процессов


Ручное редактирование

И так заходим в редактор реестра (напомню, Пуск -> Выполнить -> “regedit” -> OK), после чего двигаемся по древовидной структуре реестра в направлении раздела с названием «HKEY_LOCAL_MACHINESOFTWAREKAMAZKillPorcessProccessList».

Если такого пути нет, значит, придется создать, конечно, если хотите, чтобы основная программа работала. Если вы ранее запускали программу для формирования списка доверительный процессов, то там вы увидите список следующего формата:

Строковый параметр, с названием «<число>» и значение путь к исполняемому файлу, например:

"10"="C:\WINDOWS\System32\svchost.exe".

А так же параметр DWORD с именем «count» и значением, сколько записей в списке.

Названия ключей имеют имена от 1 до «count», представляя нумерованный список. Если вы такого там не увидели, значит, придется делать самому или воспользоваться один из двух вариантов программ предназначенных для этого.

Для того чтобы в ручную добавить новую запись, надо выполнить несколько не хитрых действий.

1. Создать строковый параметр с именем равный значению ключа «count»+1, т.е. найти ключ с наибольшим значением и прибавить к этому значению 1, суть это не меняет – главное сделать уникальное имя ключа, не нарушая последовательной нумерации ключей.

2. Установить созданному ключу значение, в виде полного пути в исполняемому файлу. Примечание: в место «» необходимо писать «\».

3. Последним действием необходимо увеличить значение ключа «count» на 1. Будьте внимательны, когда выполняете это действие, подводный камень тут в том что по умолчанию редактор реестра отображает числа в шестнадцатеричной системе счисления. Поэтому перед тем как изменять значение сделайте отображение в десятичной системе, дабы не ломать, потом голову, почему же не работает программа.

Если добавление более сложное, в плане выполняемых действий, то удаление более геморройное.

Это лучше рассмотреть на примере. В списке у нас 4 строки, соответственно и число «count», показывающее сколько должно быть строк тоже 4.
"Count"=dword:00000004
"1"="C:\WINDOWS\system32\services.exe"
"2"="C:\WINDOWS\system32\mmc.exe"
"3"="C:\WINDOWS\system32\svchost.exe"
"4"="C:\WINDOWS\system32\WindowsService1.exe"

И мы решили убрать из этого списка процесс «C:\WINDOWS\system32\mmc.exe», запускаемый при открытии «Управления компьютером» (и не только в этом случае). Для этого нам надо выполнить следующие действия:

1. уменьшить значение ключа «count» на 1.

2. Удалить саму строку из списка

3. Восстановить порядок последовательно идущих чисел. Для этого самый простой способ такой: запоминаем номер удаляемой строки (в нашем примере это «2») и ключу с наибольшим значением изменить номер на номер удаленной строки.

В результате этих действий получаем следующее:
"Count"=dword:00000003
"1"="C:\WINDOWS\system32\services.exe"
"3"="C:\WINDOWS\system32\svchost.exe"
"2"="C:\WINDOWS\system32\WindowsService1.exe"

Вот собственно и все, такими не хитрыми действиями можно создать самому список доверительных процессов, только вряд ли он будет рабочим.

Если интересно почему, давайте рассмотрим вот такие записи:
"7"="\??\C:\WINDOWS\system32\winlogon.exe"
"12"="\??\C:\WINDOWS\system32\csrss.exe"

Почему у них перед путем к исполняемому файлу стоит «\??» для меня загадка, сколько я работал с этой программой, эти 2 процесса такие единственные, поэтому, записывая эти исполняемые файлы вручную, будьте внимательны.

Вот тут написан список доверительных процессов, который использую я, он представлен в экспортированном виде.

[HKEY_LOCAL_MACHINESOFTWAREKAMAZKillPorcessProccessList]

"Count"=dword:00000048

"1"="C:\WINDOWS\system32\services.exe"

"2"="C:\WINDOWS\system32\mmc.exe"

"3"="C:\WINDOWS\system32\svchost.exe"

"4"="C:\WINDOWS\system32\WindowsService1.exe"

"5"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"

"6"="C:\WINDOWS\Explorer.EXE"

"7"="\??\C:\WINDOWS\system32\winlogon.exe"

"8"="C:\WINDOWS\system32\smss.exe"

"9"="C:\Program Files\Punto Switcher\ps.exe"

"10"="C:\WINDOWS\System32\svchost.exe"

"11"="C:\WINDOWS\system32\tlntsvr.exe"

"12"="\??\C:\WINDOWS\system32\csrss.execsrss.exe"

"13"="C:\WINDOWS\system32\lsass.exe"

"14"="C:\WINDOWS\system32\cmd.exe"

"15"="C:\WINDOWS\system32\calc.exe"

"16"="C:\WINDOWS\system32\taskmgr.exe"

"17"="C:\WINDOWS\system32\mspaint.exe"

"18"="C:\WINDOWS\system32\notepad.exe"

"19"="C:\Program Files\1cv8\bin\1cv8.exe"

"20"="C:\Program Files\7-Zip\7zFM.exe"

"21"="C:\Program Files\7-Zip\7zG.exe"

"22"="C:\Program Files\Mathcad\Mathcad 14\mathcad.exe"

"23"="C:\Program Files\Microsoft Office\Office12\MSACCESS.EXE"

"24"="C:\Program Files\Microsoft Office\OFFICE11\WINPROJ.EXE"

"25"="C:\WINDOWS\system32\NOTEPAD.EXE"

"26"="C:\Program Files\Common Files\Microsoft Shared\Help 9\dexplore.exe"

"27"="C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe"

"28"="C:\WINDOWS\system32\verclsid.exe"

"29"="C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cvtres.exe"

"30"="C:\Program Files\Microsoft Visual Studio 9.0\VC\vcpackages\VcBuildHelper.exe"

"31"="C:\Program Files\Microsoft Visual Studio 9.0\VC\bin\cl.exe"

"32"="C:\Program Files\Microsoft Visual Studio 9.0\Common7\ide\mspdbsrv.exe"

"33"="C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin\resgen.exe"

"34"="C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin\rc.exe"

"35"="C:\Program Files\Microsoft Visual Studio 9.0\VC\bin\link.exe"

"36"="C:\Program Files\Microsoft Visual Studio 9.0\VC\bin\cvtres.exe"

"37"="C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin\mt.exe"

"38"="C:\Program Files\OpenOffice.org 3\program\swriter.exe"

"39"="C:\Program Files\OpenOffice.org 3\program\soffice.exe"

"40"="C:\Program Files\OpenOffice.org 3\program\soffice.bin"

"41"="C:\Program Files\OpenOffice.org 3\program\smath.exe"

"42"="C:\Program Files\OpenOffice.org 3\program\crashrep.exe"

"43"="C:\Program Files\OpenOffice.org 3\program\simpress.exe"

"44"="C:\Program Files\OpenOffice.org 3\program\sdraw.exe"

"45"="C:\Program Files\OpenOffice.org 3\program\scalc.exe"

"46"="C:\Program Files\OpenOffice.org 3\program\sbase.exe"

"47"="C:\WINDOWS\system32\logonui.exe"

"48"="C:\WINDOWS\system32\userinit.exe"

"49"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe"

"50"="C:\WINDOWS\system32\ctfmon.exe"

"51"="C:\Program Files\OpenOffice.org 3\program\quickstart.exe"

"52"="C:\WINDOWS\system32\imapi.exe"

"53"="C:\WINDOWS\system32\logon.scr"

"54"="C:\WINDOWS\system32\igfxsrvc.exe"

"55"="C:\WINDOWS\system32\rundll32.exe"

"56"="C:\Program Files\Microsoft Office\Visio11\VISIO.EXE"

"57"="C:\Program Files\Foxit PDF Reader 1.3 RU\FoxitReader.exe"

"58"="C:\PROGRA~1\FOXITP~1.3RU\FOXITR~1.EXE"

"59"="C:\Program Files\FPC\2.2.0\bin\i386-win32\fp.exe"

"60"="\\172.20.20.20\asu\Garant\garant.exe"

"61"="\\172.20.20.20\asu\Garant\apps\F1Shell.run"

"62"="C:\Program Files\Internet Explorer\IEXPLORE.EXE"

"63"="C:\WINDOWS\explorer.exe"

"64"="C:\Program Files\Minuteman Software\GPSS World Student Version\GPSSW.exe"

"65"="C:\WINDOWS\system32\telnet.exe"

"66"="C:\Program Files\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE"

"67"="C:\WINDOWS\system32\regsvr32.exe"

"68"="C:\WINDOWS\system32\tlntsess.exe"

"69"="C:\WINDOWS\System32\cmd.exe"

"70"="C:\WINDOWS\system32\wbem\wmiprvse.exe"

"71"="C:\WINDOWS\system32\WBEM\WMIADAP.EXE"

"72"="C:\Program Files\Internet Explorer\iexplore.exe"

Материал взят с http://all-ib.ru

Обновлено: 11.03.2015