OS: Windows 10 LTSB (64bit)
現在、ホワイトリスト プログラムに取り組んでいます。
これが私の質問です。
- c:\Windows\System32\notepad.exe に notepad.exe があります。
そのハッシュ値は [9cd1c3d00ae15068...74a] になります。
c:\Windows\WinSxS\amd64 に別のメモ帳があります...
- そのハッシュ値は [da0acee8f60a460...10a] になります。
したがって、基本的にそれらは私のホワイトリストの点で異なるプログラムです. とにかく、両方ともホワイトリストに追加しました。
バッチ ファイルを編集しようとしたところ、notepad.exe が実行されました。しかし、私のホワイトリスト プログラムは、notepad.exe が c:\windows\system32\notepad.exe からのものであり、[da0acee8f60a460...10a] のハッシュ値を持っていたため、notepad.exe の実行をブロックします。
しかし、再度 System32 の notepad.exe のハッシュ値を確認すると、先ほどと同じ [9cd1c3d00ae15068...74a] です。
winSxS の notepad.exe がトリガーされたときに system32 にコピーされたようです。これはシステムプログラムでどのように機能しますか?
ちなみにwindows7の32bitでは発生しませんでした