对一个注册表项的粗略分析Image File Execution Options

时间:2022-06-02 00:23:38

[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]# G, @) c- ?9 t9 y

& o2 G5 g/ k5 E3 @8 [, g     注册 表的这个项大家可能还不太熟悉,因为这个主要是用来调试程序用的,对一般用户 ) O8 a7 X% J% L& N
意义不大。默认是只有管理员和local system有权读写,一般user只读。
6 w  J5 A  s% t" v
$ W9 Z/ N  ~7 R' e# G* V- z( K     先做个实验:在这个项下新建一个子项“test.exe”,再建一个字串值“Debugger”,; o# ]' a" o# ?9 H: M
数值数据设为“cmd.exe /c echo”,随便把一个EXE文件 改名为“test.exe”,然后在命令& I* [. w* r1 b4 |6 |2 u. x
行调用“test.exe”,得到的屏幕输出不是test.exe的输出,而会是这样:/ t3 D8 B, B. F
; D  K1 w0 m  |7 q
E:/>test
6 v* s4 W4 W2 A* d test+ N6 Z, t, l) l
2 [8 z, W' ^" m7 a. V4 T3 w
E:/>test.exe
2 M" }5 K# K, s; h test.exe
- q- g0 e: M# p  J ) l$ _- b0 b; O+ d2 d6 b  |
    Windows NT系统 在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否: e& H: y- o- g1 D
是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在:
) K; @  ^# o5 _8 c1 r) ?4 x- O- x , a/ |* W5 G( ]1 m0 l6 g
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]  @, h1 _2 W, l' G

. V- x* I5 ^' `) b     如果存在,首先会试图读取这个键值:6 K4 ^, ~& i6 Z. D
  d9 i' m& o2 ~2 n) R! o
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]% s# Y+ H4 ^1 o9 _# [5 _+ j+ I
"Debugger"="debug_prog"
/ [) L. a1 H0 M3 J0 T) h9 m
9 ~0 J) p8 T' z  |' m/ T" q4 R  U     如果存在,就执行“debug_prog ImageName”,刚才的例子中,其实系统真正执行的是:
) b0 E4 l) g; ~, k0 N
8 u1 J; @" ]1 s cmd.exe /c echo test! d. |$ J0 ?( P# I
cmd.exe /c echo test.exe
6 /' `3 u6 z* N. h# L- u# ]$ E 4 `* l7 ^, p# u7 S7 p! /
    如果“debug_prog”设为一个不在搜索路径中的程序,会得到一个很有趣的提示:“系. R  {7 @8 s: m6 j
统找不到文件 E:/test.exe”。而事实上test.exe就在当前目录下,这里所谓找不到的其实8 P/ y0 n! s+ ~' /: [5 C4 a
是那个“debug_prog”。而只要设置 了test.exe这个项,既使test.exe不存在,也不会提示' w# _* c/ A# ^' D
“系统找不到文件”,控制台上不会返回任何输出。
& }0 I, Z7 f; w* L" M! d* ~  ?3 ^
9 Y) A0 A5 w3 k* V" K     系统在运行任何一个可执行程序时都会先检查这个键值。这个特性可以被用来放置后门。
2 z( z; J  n7 P& d 这一点,在以往的Windows 安全资料中尚未提到过。如果你有一个Windows 2000安全检查列
4 L; R" Q' |8 C" u' o' ^6 }# e7 N6 k7 _ 表,请把它加进去。2 A2 B5 r9 i6 V! @
# T! C" B" W6 A! b3 }8 R
    这个项支持的值,在Windows 2000下我找到的有:
1 K8 O' N" E2 m* ~! S' c" o: e7 A
$ V' F! n9 d& ~1 k- S' z' G* j ApplicationGoo
0 K, W& {6 |1 K6 Z Debugger
. F7 z" P. @- X" q PageHeapFlags
3 U4 N* o4 `/ B. w  { DisableHeapLookAside
1 @" o! w% ^' B9 B1 {; {! {, f# E DebugProcessHeapOnly9 g" m# t0 ^2 z& X
PageHeapSizeRangeStart
' h6 w. h8 [, ?  p1 i+ r% H* I9 q PageHeapSizeRangeEnd  p: |9 Q, t8 i. s8 t/ f
PageHeapRandomProbability1 W  q9 }: T) H2 ]; c1 x: J
PageHeapDllRangeStart, ]) e' W, u. o+ n5 Z( e$ ]
PageHeapDllRangeEnd
8 r/ s8 L2 H. W0 f9 Q' n, l GlobalFlag
! r. ?% @- H% E# ~5 @5 K BreakOnDllLoad) /7 R5 u, `  W

- @% i" j/ }# s1 C& E1 f, g     这些项的工作都只与文件名有关,与路径无关。
  e8 [7 d3 [$ F* V( f6 p " A6 p* ~  q6 Q; n; T
    其中,Debugger上面讲过了。DisableHeapLookAside可以用来纠正一些应用程序运行时
" i% Y, ]- F3 S" J8 @ 的问题。从Windows NT SP4开始,Windows 系统使用了新的堆(heap)管理机制,新的动态/ [& i& ^# i, k# u. m
内存分配使得应用程序占用更少的内存(也使写Exploit更加困难:-)),但是也有些应用程
) H+ T4 z( ]% F% r# S% T5 y1 } 序在这种机制下无法正常运行,会挂起或出错。这种情况下,以该文件名建一个项,并把' g1 R" z. A# h5 e- Q
DisableHeapLookAside 设为“1”,会强迫系统对此应用程序不使用新的堆管理机制。(基: s( v, x; Q) L/ ?
于一般系统的堆溢出 Exploit,在应用程序改变了运行方式后是不是会失效?那么,对关键
( s# A/ q0 N% _$ v6 s 程序使用这一手段,在某种意义上,也是一种抵御溢出攻击的方法。)
/ ]& f9 X1 m: t/ Q& Y # x% g! ]0 Z6 `6 f6 e0 l# n
    关于DisableHeapLookAside更多的信息请参考微软 知识库:Q252902,Q195008,Q195009。
& a0 g2 s' k! X! e  N9 u/ E' X + A! w; n! W: |3 N) X4 ?0 G- U
    有趣的是,Windows 2000在安装的时候,就预设了这几个文件名的DisableHeapLookAside:
" j- |  `& n" G8 f6 U) t% _
/ E1 R- {* F6 }* e  `! Z- _  ]         enc98.EXE
1 |# w( K! R, Y         f32main.exe
7 Y# X2 t3 L5 u$ O  @& N) [         prwin8.EXE" q# a" M' O  _+ W; X
        ps80.EXE# c' h" g  v0 i- M
        qfinder.EXE
9 o& C5 i& R) A' O  _         qpw.EXE
: B6 D) X# a& j6 v* b! v( d+ Z         ua80.EXE! ]; g! P1 V2 M- {; T! L
        wpwin8.EXE+ X4 s2 /' s/ R5 n3 a" [( G

5 o) L4 u( v  ?8 ]     大概是微软收到了有关这些应用程序运行异常的报告吧:-)。
$ }0 |) H9 V8 Q3 G  m0 V! d% A ) h7 e- K" {1 z4 _0 P" J  e) X2 J, y
    BreakOnDllLoad 是用来调试DLL的,譬如某个ISAPI。可以在DLL刚一装入就设置断点。
+ N- s& q, _% c* T* F4 ^) h 可以参考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》
8 W, X, M9 a& ~4 s6 [9 m3 r# i
# W4 S' z2 [( w. X  }     ApplicationGoo我没有找到相关资料,但从微软预设的值来看,这个项里存放的是文件
1 f9 T0 `/ B  P1 E3 ~ 的版本信息。我猜想是否用这个来匹配特定版本的文件。
4 _( m& p5 f- [0 m) I
4 @" c- J; N8 x1 `+ e6 Q     剩下来的这几个值虽然我知道它们是确实存在的,却无法找到任何有关的资料,甚至在
, X, S9 W" P& ], l8 S0 b MSDN里也只字未提,还好它们的名称基本上已经把用处说清楚了:-),都是用来控制heap 的。
6 {& w  m8 O0 n0 d; h: r- ], `. u9 E 希望这几个值对正在埋头研究Windows堆溢出的朋友们能有一点点帮助。5 y$ a8 X6 Y1 /

# k$ ~8 a6 /3 ?# @. `# e
- v$ j$ j4 [  Y0 z- p4 t 附加信息:1 N4 ?3 O- R/ F9 c% [/ F9 e/ ^

9 s- o  m6 A! B8 F) C 在XP中,这个项下面还支持ShutdownFlags这个值。下面是微软的描述:# j* W, K' l8 V% T# d3 o0 Q
6 C  h4 H) P7 m- ~8 Q
Leak Detection when the Process Is Exiting$ v; k; F5 l: ^  a, ]; U

7 L0 h5 I4 ^; P$ S& Z& K Leak detection is made every time a process is cleanly exiting.
& v6 i! _% j1 U6 c. u It doesn't work if the process is terminated with TerminateProcess()
5 g+ V5 p+ Z2 j  Q6 T" T  U or TerminateThread() / ExitThread() for the last thread in the process;8 E  f( y1 w0 k* E
but for most applications this is not a problem.4 x. T! ?# z# C& |3 x
" O7 /" _. u( K4 U: M4 T. n
To enable leak detection when the process is exiting, set the registry key as follows:
, w5 ?- z; I6 D" F7 r% } , p  `4 j2 R' j' v& `4 n! ~" `
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ImageName]. f# // h7 S  p) u
"ShutdownFlags"="3"