对一个注册表项的粗略分析

  Author:   tombkeeper
  Email:    tombkeeper@whitecell.org
  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
  注册表的这个项各人可能还不太熟习，由于这个主要是用来调试程序用的，对一般用户
  意义不大。默许是只有办理员和local system有权读写，一般user只读。
  先做个实验：在这个项下新建一个子项“test.exe”，再建一个字串值“Debugger”，
  数值数据设为“cmd.exe /c echo”，任意把一个EXE文件更名为“test.exe”，然后在下令
  行调用“test.exe”，失掉的屏幕输入不是test.exe的输入，而会是这样：
  E:\>test
  test
  E:\>test.exe
  test.exe
  Windows NT系统在实行一个服从令行调用的可实行文件运行恳求时，起首会查抄这是否
  是一个可实行文件，如果是，又是什么款式的，然后就会查抄是否存在：
  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
  如果存在，起首会试图读取这个键值：
  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
  "Debugger"="debug_prog"
  如果存在，就实行“debug_prog ImageName”，适才的例子中，其实系统真正实行的是：
  cmd.exe /c echo test
  cmd.exe /c echo test.exe
  如果“debug_prog”设为一个不在搜索路径中的程序，会失掉一个很有趣的提示：“系
  统找不到文件 E:\test.exe”。而究竟上test.exe就在以后目录下，这里所谓找不到的其实
  是谁人“debug_prog”。而只要设置了test.exe这个项，既使test.exe不存在，也不会提示
  “系统找不到文件”，控制台上不会前往任何输入。
  系统在运行任何一个可实行程序时都会先查抄这个键值。这个特性可以被用来安排后门。
  这一点，在以往的Windows 安全资料中尚未提到过。如果你有一个Windows 2000安全查抄列
  表，请把它加进去。
  这个项支持的值，在Windows 2000下我找到的有：
  ApplicationGoo
  Debugger
  PageHeapFlags
  DisableHeapLookAside
  DebugProcessHeapOnly
  PageHeapSizeRangeStart
  PageHeapSizeRangeEnd
  PageHeapRandomProbability
  PageHeapDllRangeStart
  PageHeapDllRangeEnd
  GlobalFlag
  BreakOnDllLoad
  这些项的工作都只与文件名有关，与路径有关。
  其中，Debugger下面讲过了。DisableHeapLookAside可以用来改正一些使用程序运行时
  的问题。从Windows NT SP4开端，Windows 系统使用了新的堆（heap）办理机制，新的动态
  内存分配使得使用程序占用更少的内存（也使写Exploit更加困难:-)），但是也有些使用程
  序在这种机制下无法正常运行，会挂起或出错。这种情况下，以该文件名建一个项，并把
  DisableHeapLookAside 设为“1”，会逼迫系统对此使用程序不使用新的堆办理机制。（基
  于一般系统的堆溢出 Exploit，在使用程序改变了运行方法后是不是会失效？那么，对要害
  程序使用这一手段，在某种意义上，也是一种抵御溢出攻击的方法。）
  关于DisableHeapLookAside更多的信息请参考微软知识库：Q252902，Q195008，Q195009。
  有趣的是，Windows 2000在安装的时间，就预设了这几个文件名的DisableHeapLookAside：
  enc98.EXE
  f32main.exe
  prwin8.EXE
  ps80.EXE
  qfinder.EXE
  qpw.EXE
  ua80.EXE
  wpwin8.EXE
  大概是微软收到了有关这些使用程序运行非常的陈诉吧:-)。
  BreakOnDllLoad 是用来调试DLL的，譬如某个ISAPI。可以在DLL刚一装入就设置断点。
  可以参考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》
  ApplicationGoo我没有找到相关资料，但从微软预设的值来看，这个项里存放的是文件
  的版本信息。我料想是否用这个来匹配特定版本的文件。
  剩下来的这几个值虽然我知道它们是确实存在的，却无法找到任何有关的资料，甚至在
  MSDN里也只字未提，还好它们的称号根本上曾经把用处说明白了:-)，都是用来控制heap 的。
  盼望这几个值对正在笃志研究Windows堆溢出的朋侪们能有一点点资助。
  附加信息：
  在XP中，这个项下面还支持ShutdownFlags这个值。下面是微软的形貌：
  Leak Detection when the Process Is Exiting
  Leak detection is made every time a process is cleanly exiting.
  It doesn't work if the process is terminated with TerminateProcess()
  or TerminateThread() / ExitThread() for the last thread in the process;
  but for most applications this is not a problem.
  To enable leak detection when the process is exiting, set the registry key as follows:
  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
  "ShutdownFlags"="3"
  由于自己程度有限，加上这方面的资料严重匮乏，文中肯定有不少问题；还有那几个未
  完全搞清的值，也有待进一步阐发，欢迎各人写信到：
  tombkeeper@whitecell.org
  大概访问：
  http://www.whitecell.org/forums
  把你的发明告诉我。
  关于我们：
  WSS (Whitecell Security Systems)，一个非营利性官方技能组织，努力于各种系统安
  全技能的研究。坚持传统的hacker精神，追求技能的精纯。
  WSS 主页：http://www.whitecell.org/
  WSS 论坛：http://www.whitecell.org/forum/
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：