Author:  tombkeeper

    Email:    tombkeeper@whitecell.org

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

    注冊表的這個(gè)項(xiàng)大家可能還不太熟悉，因?yàn)檫@個(gè)主要是用來調(diào)試程序用的，對一般用戶

    意義不大，

對一個(gè)注冊表項(xiàng)的粗略分析

。默認(rèn)是只有管理員和local system有權(quán)讀寫，一般user只讀。

    先做個(gè)實(shí)驗(yàn)：在這個(gè)項(xiàng)下新建一個(gè)子項(xiàng)“test.exe”，再建一個(gè)字串值“Debugger”，

    數(shù)值數(shù)據(jù)設(shè)為“cmd.exe /c echo”，隨便把一個(gè)EXE文件改名為“test.exe”，然后在命令

    行調(diào)用“test.exe”，得到的屏幕輸出不是test.exe的輸出，而會是這樣：

    E:\>test

    test

    E:\>test.exe

    test.exe

    Windows NT系統(tǒng)在執(zhí)行一個(gè)從命令行調(diào)用的可執(zhí)行文件運(yùn)行請求時(shí)，首先會檢查這是否

    是一個(gè)可執(zhí)行文件，如果是，又是什么格式的，然后就會檢查是否存在：

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

    如果存在，首先會試圖讀取這個(gè)鍵值：

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

    "Debugger"="debug_prog"

    如果存在，就執(zhí)行“debug_prog ImageName”，剛才的例子中，其實(shí)系統(tǒng)真正執(zhí)行的是：

    cmd.exe /c echo test

    cmd.exe /c echo test.exe

    如果“debug_prog”設(shè)為一個(gè)不在搜索路徑中的程序，會得到一個(gè)很有趣的提示：“系

    統(tǒng)找不到文件 E:\test.exe”。而事實(shí)上test.exe就在當(dāng)前目錄下，這里所謂找不到的其實(shí)

    是那個(gè)“debug_prog”。而只要設(shè)置了test.exe這個(gè)項(xiàng)，既使test.exe不存在，也不會提示

    “系統(tǒng)找不到文件”，控制臺上不會返回任何輸出。

    系統(tǒng)在運(yùn)行任何一個(gè)可執(zhí)行程序時(shí)都會先檢查這個(gè)鍵值。這個(gè)特性可以被用來放置后門。

    這一點(diǎn)，在以往的Windows 安全資料中尚未提到過。如果你有一個(gè)Windows 2000安全檢查列

    表，請把它加進(jìn)去。

    這個(gè)項(xiàng)支持的值，在Windows 2000下我找到的有：

    ApplicationGoo

    Debugger

    PageHeapFlags

    DisableHeapLookAside

    DebugProcessHeapOnly

    PageHeapSizeRangeStart

    PageHeapSizeRangeEnd

    PageHeapRandomProbability

    PageHeapDllRangeStart

    PageHeapDllRangeEnd

    GlobalFlag

    BreakOnDllLoad

    這些項(xiàng)的工作都只與文件名有關(guān)，與路徑無關(guān)。

    其中，Debugger上面講過了。DisableHeapLookAside可以用來糾正一些應(yīng)用程序運(yùn)行時(shí)

    的問題。從Windows NT SP4開始，Windows 系統(tǒng)使用了新的堆（heap）管理機(jī)制，新的動態(tài)

    內(nèi)存分配使得應(yīng)用程序占用更少的內(nèi)存（也使寫Exploit更加困難:-)），但是也有些應(yīng)用程

    序在這種機(jī)制下無法正常運(yùn)行，會掛起或出錯(cuò)，

電腦資料

《對一個(gè)注冊表項(xiàng)的粗略分析》(http://www.oriental01.com)。這種情況下，以該文件名建一個(gè)項(xiàng)，并把

    DisableHeapLookAside 設(shè)為“1”，會強(qiáng)迫系統(tǒng)對此應(yīng)用程序不使用新的堆管理機(jī)制。（基

    于一般系統(tǒng)的堆溢出 Exploit，在應(yīng)用程序改變了運(yùn)行方式后是不是會失效？那么，對關(guān)鍵

    程序使用這一手段，在某種意義上，也是一種抵御溢出攻擊的方法。）

    關(guān)于DisableHeapLookAside更多的信息請參考微軟知識庫：Q252902，Q195008，Q195009。

    有趣的是，Windows 2000在安裝的時(shí)候，就預(yù)設(shè)了這幾個(gè)文件名的DisableHeapLookAside：

    enc98.EXE

    f32main.exe

    prwin8.EXE

    ps80.EXE

    qfinder.EXE

    qpw.EXE

    ua80.EXE

    wpwin8.EXE

    大概是微軟收到了有關(guān)這些應(yīng)用程序運(yùn)行異常的報(bào)告吧:-)。

    BreakOnDllLoad 是用來調(diào)試DLL的，譬如某個(gè)ISAPI。可以在DLL剛一裝入就設(shè)置斷點(diǎn)。

    可以參考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》

    ApplicationGoo我沒有找到相關(guān)資料，但從微軟預(yù)設(shè)的值來看，這個(gè)項(xiàng)里存放的是文件

    的版本信息。我猜想是否用這個(gè)來匹配特定版本的文件。

    剩下來的這幾個(gè)值雖然我知道它們是確實(shí)存在的，卻無法找到任何有關(guān)的資料，甚至在

    MSDN里也只字未提，還好它們的名稱基本上已經(jīng)把用處說清楚了:-)，都是用來控制heap 的。

    希望這幾個(gè)值對正在埋頭研究Windows堆溢出的朋友們能有一點(diǎn)點(diǎn)幫助。

    附加信息：

    在XP中，這個(gè)項(xiàng)下面還支持ShutdownFlags這個(gè)值。下面是微軟的描述：

    Leak Detection when the Process Is Exiting

    Leak detection is made every time a process is cleanly exiting.

    It doesn't work if the process is terminated with TerminateProcess()

    or TerminateThread() / ExitThread() for the last thread in the process;

    but for most applications this is not a problem.

    To enable leak detection when the process is exiting, set the registry key as follows:

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

    "ShutdownFlags"="3"

    由于本人水平有限，加上這方面的資料嚴(yán)重匱乏，文中肯定有不少問題；還有那幾個(gè)未

    完全搞清的值，也有待進(jìn)一步分析，歡迎大家寫信到：

    tombkeeper@whitecell.org

    或者訪問：

    http://www.whitecell.org/forums

    把你的發(fā)現(xiàn)告訴我。

    關(guān)于我們：

    WSS (Whitecell Security Systems)，一個(gè)非營利性民間技術(shù)組織，致力于各種系統(tǒng)安

    全技術(shù)的研究。堅(jiān)持傳統(tǒng)的hacker精神，追求技術(shù)的精純。

    WSS 主頁：http://www.whitecell.org/

    WSS 論壇：http://www.whitecell.org/forum/