对一个注册表项的粗略分析 -电脑资料

    Author:  tombkeeper

    Email:    tombkeeper@whitecell.org

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

    注册表的这个项大家可能还不太熟悉，因为这个主要是用来调试程序用的，对一般用户

    意义不大，

对一个注册表项的粗略分析

    先做个实验：在这个项下新建一个子项“test.exe”，再建一个字串值“Debugger”，

    数值数据设为“cmd.exe /c echo”，随便把一个EXE文件改名为“test.exe”，然后在命令

    行调用“test.exe”，得到的屏幕输出不是test.exe的输出，而会是这样：

    E:\>test

    test

    E:\>test.exe

    test.exe

    Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否

    是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

    如果存在，首先会试图读取这个键值：

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

    "Debugger"="debug_prog"

    如果存在，就执行“debug_prog ImageName”，刚才的例子中，其实系统真正执行的是：

    cmd.exe /c echo test

    cmd.exe /c echo test.exe

    如果“debug_prog”设为一个不在搜索路径中的程序，会得到一个很有趣的提示：“系

    统找不到文件 E:\test.exe”。而事实上test.exe就在当前目录下，这里所谓找不到的其实

    是那个“debug_prog”。而只要设置了test.exe这个项，既使test.exe不存在，也不会提示

    “系统找不到文件”，控制台上不会返回任何输出。

    系统在运行任何一个可执行程序时都会先检查这个键值。这个特性可以被用来放置后门。

    这一点，在以往的Windows 安全资料中尚未提到过。如果你有一个Windows 2000安全检查列

    表，请把它加进去。

    这个项支持的值，在Windows 2000下我找到的有：

    ApplicationGoo

    Debugger

    PageHeapFlags

    DisableHeapLookAside

    DebugProcessHeapOnly

    PageHeapSizeRangeStart

    PageHeapSizeRangeEnd

    PageHeapRandomProbability

    PageHeapDllRangeStart

    PageHeapDllRangeEnd

    GlobalFlag

    BreakOnDllLoad

    这些项的工作都只与文件名有关，与路径无关。

    其中，Debugger上面讲过了。DisableHeapLookAside可以用来纠正一些应用程序运行时

    的问题。从Windows NT SP4开始，Windows 系统使用了新的堆（heap）管理机制，新的动态

    内存分配使得应用程序占用更少的内存（也使写Exploit更加困难:-)），但是也有些应用程

    序在这种机制下无法正常运行，会挂起或出错，

电脑资料

    DisableHeapLookAside 设为“1”，会强迫系统对此应用程序不使用新的堆管理机制。（基

    于一般系统的堆溢出 Exploit，在应用程序改变了运行方式后是不是会失效？那么，对关键

    程序使用这一手段，在某种意义上，也是一种抵御溢出攻击的方法。）

    关于DisableHeapLookAside更多的信息请参考微软知识库：Q252902，Q195008，Q195009。

    有趣的是，Windows 2000在安装的时候，就预设了这几个文件名的DisableHeapLookAside：

    enc98.EXE

    f32main.exe

    prwin8.EXE

    ps80.EXE

    qfinder.EXE

    qpw.EXE

    ua80.EXE

    wpwin8.EXE

    大概是微软收到了有关这些应用程序运行异常的报告吧:-)。

    BreakOnDllLoad 是用来调试DLL的，譬如某个ISAPI。可以在DLL刚一装入就设置断点。

    可以参考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》

    ApplicationGoo我没有找到相关资料，但从微软预设的值来看，这个项里存放的是文件

    的版本信息。我猜想是否用这个来匹配特定版本的文件。

    剩下来的这几个值虽然我知道它们是确实存在的，却无法找到任何有关的资料，甚至在

    MSDN里也只字未提，还好它们的名称基本上已经把用处说清楚了:-)，都是用来控制heap 的。

    希望这几个值对正在埋头研究Windows堆溢出的朋友们能有一点点帮助。

    附加信息：

    在XP中，这个项下面还支持ShutdownFlags这个值。下面是微软的描述：

    Leak Detection when the Process Is Exiting

    Leak detection is made every time a process is cleanly exiting.

    It doesn't work if the process is terminated with TerminateProcess()

    or TerminateThread() / ExitThread() for the last thread in the process;

    but for most applications this is not a problem.

    To enable leak detection when the process is exiting, set the registry key as follows:

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

    "ShutdownFlags"="3"

    由于本人水平有限，加上这方面的资料严重匮乏，文中肯定有不少问题；还有那几个未

    完全搞清的值，也有待进一步分析，欢迎大家写信到：

    tombkeeper@whitecell.org

    或者访问：

    http://www.whitecell.org/forums

    把你的发现告诉我。

    关于我们：

    WSS (Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安

    全技术的研究。坚持传统的hacker精神，追求技术的精纯。

    WSS 主页：http://www.whitecell.org/

    WSS 论坛：http://www.whitecell.org/forum/