Jan 032019
 

Ganz netter Trick: Unter dem folgenden Reg Key lässt sich eine EXE Datei angeben, welche ausgeführt wird sobald eine bestimmt andere benamte EXE Datei im System aufgerufen wird. Das Konzept ist eigentlich für Debugging-Tools gedacht, weswegen der ursprüngliche Pfad der EXE Datei nochmal dahinter als Parameter aufgerufen wird.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{name of the executable}

REG_Z Value:
"Debugger"="{full path to the exe file}"

Als Beispiel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe\Debugger=c:\windows\notepad.exe
Führt dazu dass beim Aufruf von Excel in Wirklichkeit der folgende Befehl ausgeführt wird:
c:\windows\notepad.exe {path to excel.exe}

Theoretisch kann man hiermit auch Aufrufe ins Leere laufen lassen:
„Debugger“=“cmd.exe /c echo %DATE% %TIME% suppressed Exe File >> C:\\supressing.log“

Weitere Infos z.B. hier: https://blog.malwarebytes.com/101/2015/12/an-introduction-to-image-file-execution-options/