Author: tombkeeper
Email: tombkeeper@whitecell.org
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
注冊(cè)表的這個(gè)項(xiàng)大家可能還不太熟悉,因?yàn)檫@個(gè)主要是用來(lái)調(diào)試程序用的,對(duì)一般用戶
意義不大,
對(duì)一個(gè)注冊(cè)表項(xiàng)的粗略分析
。默認(rèn)是只有管理員和local system有權(quán)讀寫(xiě),一般user只讀。先做個(gè)實(shí)驗(yàn):在這個(gè)項(xiàng)下新建一個(gè)子項(xiàng)“test.exe”,再建一個(gè)字串值“Debugger”,
數(shù)值數(shù)據(jù)設(shè)為“cmd.exe /c echo”,隨便把一個(gè)EXE文件改名為“test.exe”,然后在命令
行調(diào)用“test.exe”,得到的屏幕輸出不是test.exe的輸出,而會(huì)是這樣:
E:\>test
test
E:\>test.exe
test.exe
Windows NT系統(tǒng)在執(zhí)行一個(gè)從命令行調(diào)用的可執(zhí)行文件運(yùn)行請(qǐng)求時(shí),首先會(huì)檢查這是否
是一個(gè)可執(zhí)行文件,如果是,又是什么格式的,然后就會(huì)檢查是否存在:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
如果存在,首先會(huì)試圖讀取這個(gè)鍵值:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"
如果存在,就執(zhí)行“debug_prog ImageName”,剛才的例子中,其實(shí)系統(tǒng)真正執(zhí)行的是:
cmd.exe /c echo test
cmd.exe /c echo test.exe
如果“debug_prog”設(shè)為一個(gè)不在搜索路徑中的程序,會(huì)得到一個(gè)很有趣的提示:“系
統(tǒng)找不到文件 E:\test.exe”。而事實(shí)上test.exe就在當(dāng)前目錄下,這里所謂找不到的其實(shí)
是那個(gè)“debug_prog”。而只要設(shè)置了test.exe這個(gè)項(xiàng),既使test.exe不存在,也不會(huì)提示
“系統(tǒng)找不到文件”,控制臺(tái)上不會(huì)返回任何輸出。
系統(tǒng)在運(yùn)行任何一個(gè)可執(zhí)行程序時(shí)都會(huì)先檢查這個(gè)鍵值。這個(gè)特性可以被用來(lái)放置后門(mén)。
這一點(diǎn),在以往的Windows 安全資料中尚未提到過(guò)。如果你有一個(gè)Windows 2000安全檢查列
表,請(qǐng)把它加進(jìn)去。
這個(gè)項(xiàng)支持的值,在Windows 2000下我找到的有:
ApplicationGoo
Debugger
PageHeapFlags
DisableHeapLookAside
DebugProcessHeapOnly
PageHeapSizeRangeStart
PageHeapSizeRangeEnd
PageHeapRandomProbability
PageHeapDllRangeStart
PageHeapDllRangeEnd
GlobalFlag
BreakOnDllLoad
這些項(xiàng)的工作都只與文件名有關(guān),與路徑無(wú)關(guān)。
其中,Debugger上面講過(guò)了。DisableHeapLookAside可以用來(lái)糾正一些應(yīng)用程序運(yùn)行時(shí)
的問(wèn)題。從Windows NT SP4開(kāi)始,Windows 系統(tǒng)使用了新的堆(heap)管理機(jī)制,新的動(dòng)態(tài)
內(nèi)存分配使得應(yīng)用程序占用更少的內(nèi)存(也使寫(xiě)Exploit更加困難:-)),但是也有些應(yīng)用程
序在這種機(jī)制下無(wú)法正常運(yùn)行,會(huì)掛起或出錯(cuò),
電腦資料
《對(duì)一個(gè)注冊(cè)表項(xiàng)的粗略分析》(http://m.stanzs.com)。這種情況下,以該文件名建一個(gè)項(xiàng),并把DisableHeapLookAside 設(shè)為“1”,會(huì)強(qiáng)迫系統(tǒng)對(duì)此應(yīng)用程序不使用新的堆管理機(jī)制。(基
于一般系統(tǒng)的堆溢出 Exploit,在應(yīng)用程序改變了運(yùn)行方式后是不是會(huì)失效?那么,對(duì)關(guān)鍵
程序使用這一手段,在某種意義上,也是一種抵御溢出攻擊的方法。)
關(guān)于DisableHeapLookAside更多的信息請(qǐng)參考微軟知識(shí)庫(kù):Q252902,Q195008,Q195009。
有趣的是,Windows 2000在安裝的時(shí)候,就預(yù)設(shè)了這幾個(gè)文件名的DisableHeapLookAside:
enc98.EXE
f32main.exe
prwin8.EXE
ps80.EXE
qfinder.EXE
qpw.EXE
ua80.EXE
wpwin8.EXE
大概是微軟收到了有關(guān)這些應(yīng)用程序運(yùn)行異常的報(bào)告吧:-)。
BreakOnDllLoad 是用來(lái)調(diào)試DLL的,譬如某個(gè)ISAPI?梢栽贒LL剛一裝入就設(shè)置斷點(diǎn)。
可以參考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》
ApplicationGoo我沒(méi)有找到相關(guān)資料,但從微軟預(yù)設(shè)的值來(lái)看,這個(gè)項(xiàng)里存放的是文件
的版本信息。我猜想是否用這個(gè)來(lái)匹配特定版本的文件。
剩下來(lái)的這幾個(gè)值雖然我知道它們是確實(shí)存在的,卻無(wú)法找到任何有關(guān)的資料,甚至在
MSDN里也只字未提,還好它們的名稱(chēng)基本上已經(jīng)把用處說(shuō)清楚了:-),都是用來(lái)控制heap 的。
希望這幾個(gè)值對(duì)正在埋頭研究Windows堆溢出的朋友們能有一點(diǎn)點(diǎn)幫助。
附加信息:
在XP中,這個(gè)項(xiàng)下面還支持ShutdownFlags這個(gè)值。下面是微軟的描述:
Leak Detection when the Process Is Exiting
Leak detection is made every time a process is cleanly exiting.
It doesn't work if the process is terminated with TerminateProcess()
or TerminateThread() / ExitThread() for the last thread in the process;
but for most applications this is not a problem.
To enable leak detection when the process is exiting, set the registry key as follows:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"ShutdownFlags"="3"
由于本人水平有限,加上這方面的資料嚴(yán)重匱乏,文中肯定有不少問(wèn)題;還有那幾個(gè)未
完全搞清的值,也有待進(jìn)一步分析,歡迎大家寫(xiě)信到:
tombkeeper@whitecell.org
或者訪問(wèn):
http://www.whitecell.org/forums
把你的發(fā)現(xiàn)告訴我。
關(guān)于我們:
WSS (Whitecell Security Systems),一個(gè)非營(yíng)利性民間技術(shù)組織,致力于各種系統(tǒng)安
全技術(shù)的研究。堅(jiān)持傳統(tǒng)的hacker精神,追求技術(shù)的精純。
WSS 主頁(yè):http://www.whitecell.org/
WSS 論壇:http://www.whitecell.org/forum/