Как работает A1RunGuard?

Technical Review

Подробно: A1RunGuard использует Image File Execution Debugger метод для перехвата запуска исполняемых файлов.

Этот метод имеет множество преимуществ (по сравнению с другими методами/техниками):

  • Системные файлы не изменяются.
  • Никаких драйверов, не требуются дополнительные выполняемые файлов.
  • Идеальная совместимость с версиями Windows (от Windows 7 до Windows 11).
  • Легко установить/отменить изменение нескольких ключей реестра.
  • Блокировать процессы можно по имени файла или полному пути к нему.

Однако есть и минусы указанного метода, а именно:

  • Этот метод не поддерживает подстановочные знаки в именах процессов.
  • Процесс перехватывается по имени, а не по его содержимому.

Что происходит во время запуска приложения?

  1. Windows проверяет наличие подраздела:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{имя исполняемого файла.
  2. Если подраздел существует, Windows проверяет значение реестра "Debugger". Если это значение существует, Windows выполняет файл, хранящийся в значении "Debugger", с помощью командной строки запускаемой программы.
  3. A1RunGuard использует свое приложение: "A1RunScanner.exe" в качестве отладчика.
A1runscanner.exe затем выполняет запуск приложения или блокирует его.

Функции A1RunGuard

  • Предотвратить атаку программ-вымогателей путем мониторинга важных процессов.
  • Заблокируйте процесс по имени файла или по полному пути к файлу.
  • Заблокируйте процесс паролем.
  • Перенаправить процесс запуска в другую программу.

Нужна помощь?

  1. Читать Документация.
  2. База знаний.
  3. Часто задаваемые вопросы.
  4. Обратиться в службу поддержки.
}