作者: tombkeeper@whitecell.org
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
注册表的这个项大家可能还不太熟悉,因为这个主要是用来调试程序用的,对一般用户 意义不大。默认是只有管理员和local system有权读写,一般user只读。
先做个实验:在这个项下新建一个子项“test.exe”,再建一个字串值“Debugger”, 数值数据设为“cmd.exe /c echo”,随便把一个EXE文件改名为“test.exe”,然后在命令 行调用“test.exe”,得到的屏幕输出不是test.exe的输出,而会是这样:
E:>test test
E:>test.exe test.exe
Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否 是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsImageName]
如果存在,首先会试图读取这个键值:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsImageName] "Debugger"="debug_prog"
如果存在,就执行“debug_prog ImageName”,刚才的例子中,其实系统真正执行的是:
cmd.exe /c echo test cmd.exe /c echo test.exe
如果“debug_prog”设为一个不在搜索路径中的程序,会得到一个很有趣的提示:“系 统找不到文件 E: est.exe”。而事实上test.exe就在当前目录下,这里所谓找不到的其实 是那个“debug_prog”。而只要设置了test.exe这个项,既使test.exe不存在,也不会提示 “系统找不到文件”,控制台上不会返回任何输出。
系统在运行任何一个可执行程序时都会先检查这个键值。这个特性可以被用来放置后门。 这一点,在以往的Windows 安全资料中尚未提到过。如果你有一个Windows 2000安全检查列 表,请把它加进去。
这个项支持的值,在Windows 2000下我找到的有:
ApplicationGoo Debugger PageHeapFlags DisableHeapLookAside DebugProcessHeapOnly PageHeapSizeRangeStart PageHeapSizeRangeEnd PageHeapRandomProbability PageHeapDllRangeStart PageHeapDllRangeEnd GlobalFlag BreakOnDllLoad
这些项的工作都只与文件名有关,与路径无关。
其中,Debugger上面讲过了。DisableHeapLookAside可以用来纠正一些应用程序运行时 的问题。从Windows NT SP4开始,Windows 系统使用了新的堆(heap)管理机制,新的动态 内存分配使得应用程序占用更少的内存(也使写Exploit更加困难:-)),但是也有些应用程 序在这种机制下无法正常运行,会挂起或出错。这种情况下,以该文件名建一个项,并把 DisableHeapLookAside 设为“1”,会强迫系统对此应用程序不使用新的堆管理机制。(基 于一般系统的堆溢出 Exploit,在应用程序改变了运行方式后是不是会失效?那么,对关键 程序使用这一手段,在某种意义上,也是一种抵御溢出攻击的方法。)
关于DisableHeapLookAside更多的信息请参考微软知识库:Q252902,Q195008,Q195009。
有趣的是,Windows 2000在安装的时候,就预设了这几个文件名的DisableHeapLookAside:
enc98.EXE f32main.exe prwin8.EXE ps80.EXE qfinder.EXE qpw.EXE ua80.EXE wpwin8.EXE
大概是微软收到了有关这些应用程序运行异常的报告吧:-)。
BreakOnDllLoad 是用来调试DLL的,譬如某个ISAPI。可以在DLL刚一装入就设置断点。 可以参考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》
ApplicationGoo我没有找到相关资料,但从微软预设的值来看,这个项里存放的是文件 的版本信息。我猜想是否用这个来匹配特定版本的文件。
剩下来的这几个值虽然我知道它们是确实存在的,却无法找到任何有关的资料,甚至在 MSDN里也只字未提,还好它们的名称基本上已经把用处说清楚了:-),都是用来控制heap 的。 希望这几个值对正在埋头研究Windows堆溢出的朋友们能有一点点帮助。
附加信息:
在XP中,这个项下面还支持ShutdownFlags这个值。下面是微软的描述:
Leak Detection when the Process Is Exiting
Leak detection is made every time a process is cleanly exiting. It doesnt work if the process is terminated with TerminateProcess() or TerminateThread() / ExitThread() for the last thread in the process; but for most applications this is not a problem.
To enable leak detection when the process is exiting, set the registry key as follows:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsImageName] "ShutdownFlags"="3"
由于本人水平有限,加上这方面的资料严重匮乏,文中肯定有不少问题;还有那几个未 完全搞清的值,也有待进一步分析,欢迎大家写信到: tombkeeper@whitecell.org 或者访问: _blank>http://HdhCmsTestwhitecell.org/forums 把你的发现告诉我。
关于我们:
WSS (Whitecell Security Systems),一个非营利性民间技术组织,致力于各种系统安 全技术的研究。坚持传统的hacker精神,追求技术的精纯。
WSS 主页: http://HdhCmsTestwhitecell.org/ WSS 论坛 : http://HdhCmsTestwhitecell.org/forum/
查看更多关于对一个注册表项的粗略分析 - Windows操作系统 - 自的详细内容...