Как узнать объект ярлыка в 64-битной ОС

Dragokas · Регистрация: 25.12.2011

Студворк — интернет-сервис помощи студентам

Имею ярлык к Internet Explorer. Браузер находится в папке C:\program files
При выполнении кода:

Visual Basic
1
msgbox CreateObject("WScript.Shell").CreateShortcut(Link).TargetPath

получаю путь C:\program files (x86)

Воспользовался файловой переадресацией = не помогает.

Кликните здесь для просмотра всего текста

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
Private Declare Function GetProcAddress Lib "kernel32" (ByVal hModule As Long, ByVal lpProcName As String) As Long
Private Declare Function GetModuleHandle Lib "kernel32" Alias "GetModuleHandleA" (ByVal lpModuleName As String) As Long
Private Declare Function GetCurrentProcess Lib "kernel32" () As Long
Private Declare Function IsWow64Process Lib "kernel32" (ByVal hProc As Long, bWow64Process As Boolean) As Long
Private Declare Function GetSystemWow64Directory Lib "kernel32.dll" Alias "GetSystemWow64DirectoryA" (ByVal lpBuffer As String, ByVal uSize As Long) As Long
Private Declare Function Wow64DisableWow64FsRedirection Lib "kernel32" (ByRef oldvalue As Long) As Boolean
Private Declare Function Wow64RevertWow64FsRedirection Lib "kernel32" (ByVal oldvalue As Long) As Boolean
 
Option Explicit
 
Private Sub main()
    Dim lWow64RedirectReturn As Long: lWow64RedirectReturn = 0
    Dim ret As Boolean
    
    Dim is64 As Boolean: is64 = Is64bitOS
    Debug.Print "Is OS 64-bit? " & is64
    
    If is64 Then ret = Wow64DisableWow64FsRedirection(lWow64RedirectReturn)
    Debug.Print "API = " & ret
    CheckRedirection
    GetLinkTarget
 
    If is64 Then ret = Wow64RevertWow64FsRedirection(lWow64RedirectReturn)
    Debug.Print "API = " & ret
    CheckRedirection
    GetLinkTarget
End Sub
 
Public Function Is64bitOS() As Boolean
    Dim bWow64Process As Boolean
    Dim handle As Long: handle = GetProcAddress(GetModuleHandle("kernel32"), "IsWow64Process") ' if IsWow64Process function exists
    If handle > 0 Then IsWow64Process GetCurrentProcess(), bWow64Process ' Is running under Wow64
    Is64bitOS = bWow64Process
End Function
 
Sub CheckRedirection()
    Dim exe: exe = Environ("SystemRoot") & "\system32\msg.exe"
    Debug.Print "Redirect = " & (Dir$(exe, vbReadOnly Or vbSystem Or vbHidden) <> vbNullString)
End Sub
 
Sub GetLinkTarget()
    Dim Link: Link = "C:\Users\Alex\Desktop\IE.lnk"
    Dim oLink: Set oLink = CreateObject("WScript.Shell").CreateShortcut(Link)
    Debug.Print oLink.TargetPath
    'Debug.Print oLink.WorkingDirectory
End Sub

1) Какие будут советы?
2) Может есть где спецификация самого формата данных?

Dragokas · 29.03.2014, 21:05 **[ТС]**

Кстати, откуда такая инфа?

Сообщение от The trick

Переадресация работает только на System32/SysWOW64

@The trick · 29.03.2014, 22:15

Сообщение от Dragokas

Кстати, откуда такая инфа?

http://msdn.microsoft.com/en-u... s.85).aspx

Dragokas · 30.03.2014, 02:45 **[ТС]**

Видел. Да, действительно, пишут только о System32/SysWow64.
Вопрос только, является ли преадресация Program Files -> Program Files(x86) частью этого механизма (но ее не упомянули в статье) или проблема с определением ярлыка - это особый частный случай. (я склоняюсь ко второму)

Сообщение от The trick

Сообщение от Dragokas

Вопрос на засыпку: почему тогда на команду Kill не действует правило переадресации "Program Files" -> "Program Files (x86)" ?

Kill для удаления файла вызывает API DeleteFileA из kernel32, Shell32 использует PIDL для идентификации,и возможно (пока не смотрел) меняет еще на этапе загрузки.

"DeleteFileA из kernel32" - За браком знаний в контексте данной темы это мне ни о чем не говорит, к сожалению.

Вот факт - из 32-битного процесса:

Kill "c:\windows\system32\file.txt"
удаляет файл в папке syswow64

kill "c:\program files\file.txt"
этот самый файл и удаляет. Переадресации нет.

P.S. Скомпилировал код C++ от Peter Thoemmes для выдергивания пути из ярлыка согласно спецификации.
Еще пригодится для будущих экспериментов.

@The trick · 30.03.2014, 09:27

Сообщение от Dragokas

является ли преадресация Program Files -> Program Files(x86) частью этого механизм

Нет же я написал. Это "проделки" Shell32.

Убежденный · 31.03.2014, 22:18

Насколько мне известно, файловые WOW64-редиректы работают только
для системных папок.

Для Program Files действует другой механизм.

Во-первых, у WOW64-процессов системная переменная ProgramFiles указывает на
"C:\Program Files (x86)".

Во-вторых, системные функции получения стандартных путей типа SHGetFolderPath
для WOW64-процессов тоже возвращают 32-битную "Program Files (x86)".

В-третьих, если WOW64-процесс пишет в реестр строковое значение,
содержащее путь к одной из системных папок, в том числе и "Program Files",
он автоматически преобразуется системой к 32-битному варианту.
За это уже отвечает registry redirector.

Но в остальном нет никаких препятствий, чтобы 32-битный exe поставить и
запускать из 64-битной "нативной" папки "Program Files", то же самое,
по идее, должно действовать и для ярлыков.

Хотя если 32-битная программа захочет "узнать", где находится "Program Files",
система неизбежно "подсунет" ей "Program Files (x86)".

Вот таким скриптом я создаю ярлык на запуск 64-битного Internet Explorer, и
не имеет значения, ни из-под какого процесса этот ярлык создается и запускается
(32 или 64 бита) - во всех случаях наблюдаю запуск именно 64-битной версии IE,
никаких редиректов в "Program Files (x86)" нету:

Visual Basic
1
2
3
4
5
6
set WshShell = WScript.CreateObject("WScript.Shell")
set Link = WshShell.CreateShortcut("C:\Scripts\ShortcutToIe64.lnk")
Link.TargetPath = "C:\Program Files\Internet Explorer\iexplore.exe"
Link.Save()
 
msgbox Link.TargetPath

Добавлено через 8 минут
Dragokas, кстати, откуда в исходном коде, приведенном в
первом сообщении темы, берется Program Files ? Не нашел.
Может, он уже "приходит" туда в 32-битном обличии (x86) ?

@The trick · 31.03.2014, 22:36

На "обычные" API переадресация не работает с Program Files (CreateFile, FindFirstFile, GetFileAttributes и т.п.), работает только с функциями SHELL, так в MSDN и написано. Например написав в VB

Visual Basic
1
Open "C:\Program Files\tmp" For Bianry...

файл создастся именно там.
Dragokas, ты писал парсер, проверь чем отличается (изнутри) ярлык созданный через Explorer и через скрипт Убежденного (если он у тебя отрабатывает).

Dragokas · 31.03.2014, 23:43 **[ТС]**

Убежденный, превосходное наблюдение.
Ярлык создается примерно в 2х раза меньшего размера, при этом папка Program Files считывается из него без "переадресации" в отличие от ярлыка нативно созданного через explorer.

Создавал таким кодом под x32 процессом

Visual Basic
1
2
3
4
5
6
7
set oShell = CreateObject("WScript.Shell")
set oLink = oShell.CreateShortcut("C:\users\alex\desktop\ie_vbs.lnk")
oLink.TargetPath = "C:\Program Files\Internet Explorer\iexplore.exe"
oLink.WorkingDirectory = "C:\Program Files\Internet Explorer"
oLink.Save
 
msgbox oLink.TargetPath

Есть различия в 1 байте (смещение 16), а также всех байтов, начиная с 2DF (ярлыки приаттачил).
Пробую соотнести со спецификацией.
________________________
смещение 14 (4 байта) - LinkFlags, задающий наличие секций.
9B 00 00 00 (vbs) - отсутствует секция "EnableTargetMetadata".
9B 00 08 00 (explorer)

Да, похоже виноват алгоритм обработки KnownFolder.

Заодно еще один парсер нашел - shellify.

Dragokas · 01.04.2014, 00:45 **[ТС]**

А вот похоже и сам код, который Microsoft использует в ОС
для получения пути для указанного Known Folder GUID: CppShellKnownFolders
В нем используется функция SHGetKnownFolderPath.

Скомпилировал под x32 и x64 кому интересно.
x32 версия всегда выдает Program Files (x86).
Похоже тупо подставляет нужное значение переменной в зависимости от разрядности процесса, как и описано здесь.

Dragokas · 08.06.2015, 12:46 **[ТС]**

Чтобы дать теме логическое завершение, скажу, что ярлыки, создаваемые Explorer,
цель которых пролегает через специальные папки, создаются с добавлением Extra Data Block.

Когда система начинает разбор пути и видит наличие одной из секций:
- 2.5.6. KnownFolderDataBlock
- 2.5.9. SpecialFolderDataBlock
то формирование пути происходит с участием раскрытия переменной окружения, указанной в этих секциях (что приводит к получению другого значения под WOW64).

Чтобы однозначно идентифицировать реальный путь, можно, к примеру прочитать SpecialFolderDataBlock и по номеру CSIDL узнать:
'38 = %ProgramFiles%
'42 = %ProgramFiles(x86)%
Другие значения: CSIDL - http://code.snapstream.com/api... CSIDL.html
Аналогичная ситуация с переменной %CommonProgramFiles%.

Касаемо KnownFolderDataBlock, ее GUID можно также проверить по этому списку: https://msdn.microsoft.com/en-... s.85).aspx
Например,
{6D809377-6AF0-444b-8957-A3773F02200E} - ProgramFilesX64
{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E} - ProgramFilesX86

Парсинг этих секций можно провести примерно так:

Кликните здесь для просмотра всего текста

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
    ' ===== 2.5. Extra Data Block ======
    
    Dim BlockSize As Long
    Dim BlockSignature As Long
    Dim KnownFolderID As UUID
    Dim KnownFolderIDListOffset As Long
    Dim SpecialFolderID As Long
    Dim SpecialFolderIDListOffset As Long
    Dim OtherStr As String
    Dim lr As Long
    
    If NextOffset + 1 < LOF(ff) Then    ' not EOF
        Get #ff, NextOffset + 1&, BlockSize
        
        Do While BlockSize >= 4     ' not TerminalBlock
        
            Get #ff, NextOffset + 4& + 1&, BlockSignature
            
            Debug.Print Hex(BlockSignature)
            
            Select Case BlockSignature
            
                'Case &HA0000002 '2.5.1. ConsoleDataBlock
                'Case &HA0000004 '2.5.2. ConsoleFEDataBlock
                'Case &HA0000006 '2.5.3. DarwinDataBlock
                'Case &HA0000001 '2.5.4. EnvironmentVariableDataBlock
                'Case &HA0000007 '2.5.5. IconEnvironmentDataBlock
            
                Case &HA000000B  '2.5.6. KnownFolderDataBlock
                    Get #ff, NextOffset + 8& + 1&, KnownFolderID
                    Get #ff, NextOffset + 8& + 16& + 1&, KnownFolderIDListOffset    'offset in link target ID List
                    Dim KnownFolderID_str As String
                    KnownFolderID_str = String$(39&, Chr$(0&))
                    lr = StringFromGUID2(KnownFolderID, StrPtr(KnownFolderID_str), Len(KnownFolderID_str))
                    KnownFolderID_str = Left$(KnownFolderID_str, 38)
                    Debug.Print KnownFolderID_str
                    
                    '7c5a40ef-a0fb-4bfc-874a-c0f2e0b9fa8e = ProgramFilesX86
                    'KnownFolderIDs - [url]http://msdn.microsoft.com/en-us/library/windows/desktop/dd378457(v=vs.85).aspx[/url]
                
                'Case &HA0000009 '2.5.7. PropertyStoreDataBlock
                'Case &HA0000008 '2.5.8. ShimDataBlock
                
                Case &HA0000005  '2.5.9. SpecialFolderDataBlock
                    Get #ff, NextOffset + 8& + 1&, SpecialFolderID
                    Get #ff, NextOffset + 8& + 12& + 1&, SpecialFolderIDListOffset  'offset in link target ID List
                    
                    'CSIDL - [url]http://code.snapstream.com/api/bm11/SnapStream.Util.CSIDL.html[/url]
                    '38 = %ProgramFiles%
                    '42 = %ProgramFiles(x86)%
                
                'Case &HA0000003 '2.5.10. TrackerDataBlock
                'Case &HA000000C '2.5.11. VistaAndAboveIDListDataBlock
                
                Case Else
                    OtherStr = String$(BlockSize - 8&, Chr$(0&))
                    Get #ff, NextOffset + 8& + 1&, OtherStr
                
            End Select
            
            NextOffset = NextOffset + BlockSize
        
            If NextOffset + 1 >= LOF(ff) Then Exit Do
            
            Get #ff, NextOffset + 1&, BlockSize
            
        Loop
        
    End If

Убежденный · 08.06.2015, 13:53

Не по теме:

Dragokas, не перестаешь удивлять своими знаниями и
навыками ресерча, браво !
:good:

Dragokas · 08.06.2015, 20:58 **[ТС]**

Не по теме:

Убежденный, это Вы преувеличиваете. Все таки уже почти как год в этой теме.
Обычная наблюдательность, просто догадался (не без чтения море исследовательских статей конечно).

Есть пару вещей (по этой же теме), в которых я действительно первопроходец, но чтоб довести их до логического конца как раз навыков реверсинга и не хватает.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

Убежденный
	08.06.2015, 13:53
	Не по теме: Dragokas, не перестаешь удивлять своими знаниями и навыками ресерча, браво ! :good: 0

Dragokas
	08.06.2015, 20:58 [ТС]
	Не по теме: Убежденный, это Вы преувеличиваете. Все таки уже почти как год в этой теме. Обычная наблюдательность, просто догадался (не без чтения море исследовательских статей конечно). Есть пару вещей (по этой же теме), в которых я действительно первопроходец, но чтоб довести их до логического конца как раз навыков реверсинга и не хватает. 0

Как узнать объект ярлыка в 64-битной ОС

Решение