对Win10某程序的研究

前言：

今天在浏览帖子时，看到国外一位大神分享了一个关于Windows系统下runexehelper.exe文件的动态，于是我决定深入研究一下。

首先，我们来探讨一下这个文件的本质。因为我是在上午看到这条推文的，当时正在上课，使用的电脑是Windows 7系统，所以没能找到这个文件。后来才发现，这个文件只在Windows 10系统中存在，位于：

C:\Windows\System32\runexehelper.exe

值得注意的是，这个目录下的文件居然不是微软自家的产品。

如果是微软的文件，我们通常可以通过微软官网查阅相关文档，了解该程序的详细信息。但对于这种情况，我们只能自己抓取进程来分析。

我随手在谷歌上搜索了这个文件，发现了大量负面评价，并找到了它的MD5值：

5c597c56e5ab322749e543365c6d6238

这个文件在在线杀毒检测中被标记，确实臭名昭著。

正文：

根据国外大神的说法，这个文件可以用来运行其他文件，但需要满足以下条件：

diagtrack_action_output必须是一个可写的目录，并且runexewithargs_output.txt文件不能存在于该目录下。首先，我们使用set diagtrack_action_output命令来设置diagtrack_action_output的值，然后查看设置的值。

AI智研社

AI智研社是一个专注于人工智能领域的综合性平台

15

查看详情

接着，我们尝试使用runexehelper运行计算器程序：

成功复现了结果。值得注意的是，后缀可以是任意文件，例如：

依然可以弹出计算器。然而，这个文件无法弹出命令提示符（cmd），这让我非常困惑。国外大神提到这是因为无法加载DLL。

我并不理解这句话的含义。起初我以为是cmd需要调用DLL，而计算器不需要，但通过抓取进程后发现并非如此。

我本来打算进行行为分析，但突然想到，直接反弹一个Metasploit的shell回来查看权限就行了。如果是系统权限，就有继续研究的必要，否则就不必了。

算了，既然如此，就到此为止吧...其实各位大神可以继续研究，我太菜了，剩下的就交给你们了。

实际上，Windows系统中还有很多这样的程序，说不定哪天它们就能在我们的权限提升中派上用场。

以上就是对Win10某程序的研究的详细内容，更多请关注php中文网其它相关文章！