对一个windows2000注册表项的粗略分析(转)[@more@] [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options] 注册表的这个项大家可能还不太熟悉,因为这个主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写,一般user只读。 先做个实验:在这个项下新建一个子项“test.exe”,再建一个字串值“Debugger”,数值数据设为“cmd.exe /c echo”,随便把一个EXE文件改名为“test.exe”,然后在命令行调用“test.exe”,得到的屏幕输出不是test.exe的输出,而会是这样: E:>test test E:>test.exe test.exe Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsImageName] 如果存在,首先会试图读取这个键值: [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsImageName] "Debugger"="debug_prog" 如果存在,就执行“debug_prog ImageName”,刚才的例子中,其实系统真正执行的是: cmd.exe /c echo test cmd.exe /c echo test.exe 如果“debug_prog”设为一个不在搜索路径中的程序,会得到一个很有趣的提示:“系统找不到文件 E: est.exe”。而事实上test.exe就在当前目录下,这里所谓找不到的其实是那个“debug_prog”。而只要设置了test.exe这个项,既使test.exe不存在,也不会提示“系统找不到文件”,控制台上不会返回任何输出。 系统在运行任何一个可执行程序时都会先检查这个键值。这个特性可以被用来放置后门。这一点,在以往的Windows 安全资料中尚未提到过。如果你有一个Windows 2000安全检查列表,请把它加进去。 这个项支持的值,在Windows 2000下我找到的有: ApplicationGoo Debugger PageHeapFlags DisableHeapLookAside DebugProcessHeapOnly PageHeapSizeRangeStart PageHeapSizeRangeEnd PageHeapRandomProbability PageHeapDllRangeStart PageHeapDllRangeEnd GlobalFlag BreakOnDllLoad 这些项的工作都只与文件名有关,与路径无关。 其中,Debugger上面讲过了。DisableHeapLookAside可以用来纠正一些应用程序运行时的问题。从Windows NT SP4开始,Windows 系统使用了新的堆(heap)管理机制,新的动态内存分配使得应用程序占用更少的内存(也使写Exploit更加困难:-)),但是也有些应用程序在这种机制下无法正常运行,会挂起或出错。这种情况下,以该文件名建一个项,并把DisableHeapLookAside 设为“1”,会强迫系统对此应用程序不使用新的堆管理机制。(基于一般系统的堆溢出 Exploit,在应用程序改变了运行方式后是不是会失效?那么,对关键程序使用这一手段,在某种意义上,也是一种抵御溢出攻击的方法。) 关于DisableHeapLookAside更多的信息请参考微软知识库:Q252902,Q195008,Q195009。 有趣的是,Windows 2000在安装的时候,就预设了这几个文件名的DisableHeapLookAside: enc98.EXE f32main.exe prwin8.EXE ps80.EXE qfinder.EXE qpw.EXE ua80.EXE wpwin8.EXE 大概是微软收到了有关这些应用程序运行异常的报告吧:-)。 BreakOnDllLoad 是用来调试DLL的,譬如某个ISAPI。可以在DLL刚一装入就设置断点。 ApplicationGoo我没有找到相关资料,但从微软预设的值来看,这个项里存放的是文件的版本信息。我猜想是否用这个来匹配特定版本的文件。 剩下来的这几个值虽然我知道它们是确实存在的,却无法找到任何有关的资料,甚至在MSDN里也只字未提,还好它们的名称基本上已经把用处说清楚了:-),都是用来控制heap 的。希望这几个值对正在埋头研究Windows堆溢出的朋友们能有一点点帮助。 附加信息: 在XP中,这个项下面还支持ShutdownFlags这个值。下面是微软的描述: Leak Detection when the Process Is Exiting Leak detection is made every time a process is cleanly exiting. It doesn't work if the process is terminated with TerminateProcess() or TerminateThread() / ExitThread() for the last thread in the process; but for most applications this is not a problem. To enable leak detection when the process is exiting, set the registry key as follows: [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsImageName] "ShutdownFlags"="3"
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8403220/viewspace-954839/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/8403220/viewspace-954839/
对一个windows2000注册表项的粗略分析(转)相关推荐
- VISTA中注册表项LEGACY_****的删除
在VISTA中如果你错误安装了某个驱动软件,而如果这个驱动安装软件考虑不周,无法卸载,那么你就麻烦了! 比如我的U盘以前一直使用优易U盘加密软件1.2来做一个隐蔽的U盘. 某天我在VISTA上运行了这 ...
- 组策略安全选项对应注册表项汇总
组策略安全选项对应注册表项汇总 http://xiong.blog.51cto.com/811/18797 vbs修改注册表的方法 http://www.cnblogs.com/heimirror/a ...
- 服务器iis7.5 配置文件,使用注册表项 - Internet Information Services | Microsoft Docs
Internet 信息服务使用的注册表项的说明 07/21/2020 本文内容 本文介绍了 Microsoft Internet Information Services (IIS) 在 Window ...
- 管理员获得所有权_在Windows 7中获得注册表项的所有权
管理员获得所有权 We have previously written about how to take ownership of files and folders in Windows 7, b ...
- 命令编写注册表文件修改注册表项
命令编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的 ...
- 木马爱修改的常见注册表项及其功能
IE相关: 设置IE多线程下载网页的线程数: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings ...
- 通过修改explorer.exe内存隐藏文件及注册表项
记录今天分析的一个隐藏自身及注册表项的病毒. 1.概述: (1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动项: HKEY_CURRENT_USER\So ...
- 用批处理读取特定注册表项的路径值
用批处理命令查询注册表项的命令为 REG QUERY ... 具体的使用信息在命令行窗口中输入 REG QUERY /? 在这里我们需要查询一个具体的key-value,则使用下面的命令 REG QU ...
- Windows平台下 C++注册表项重命名实现
最近在写一个小项目的时候需要能够编辑注册表相关的信息,过程中发现windows没有给能够修改注册表项名称的API接口(反正我没找到),只能找到创建/删除之类的API(包括正常Reg系列API和SH系列 ...
最新文章
- Dataset:数据生成之利用pandas自定义生成随机各自类型(离散型和连续型)的dataframe数据
- winpe镜像文件iso下载_下载:微软正式发布Win10 2004版并即日起开始推送
- 12.2日,第二次团队冲刺开始
- exc_bad_instruction(code=EXC_I386_INVOP,subcode=0x0) 错误
- linux下面的挂载点讲解
- python开源的人脸识别库_什么是 SeetaFace 开源人脸识别引擎
- oracle配置控制文件快照的位置以及名称为,Oracle 快照控制文件(snapshot control file)...
- 跟小海一起看下雪——用HTML、CSS和JS实现简单的下雪特效
- Linux随笔15-Ubuntu20.04允许root用户图形界面登录、chrony局域网时间同步服务、ipxe实现系统自动化安装
- 实现不同电脑共享一套鼠标键盘------ShareMouse
- texlive2020 安装_texlive测试是否安装成功
- 华为手机自带浏览器的显示问题
- c语言中eof的作用,C语言中EOF是什么意思?
- php 图片印章_php版圆形印章生成器
- 组件分享之后端组件——阿里妈妈前端团队出品的开源接口管理工具RAP第二代rap2-delos...
- jzoj 4883. 【NOIP2016提高A组集训第12场11.10】灵知的太阳信仰
- Windows_U盘_SD卡_硬盘等存储介质无法完成格式化
- 洛谷算法题单:模拟与高精度例题(下)
- hdu4411 Arrest 最小费用流
- 一般的Java项目需要JVM调优吗?
热门文章
- 微信小程序中的iPhone X适配问题
- 一万字详解C语言中长度为零的数组
- I2C总线原理和应用实例(51单片机和AT24C02的I2C通讯)
- flash media server播放实时视频流
- C++核心准则​T.46:要求模板参数最少是正规或半正规的
- 1168: 账单(指针专题,多实例)
- WLAN射频和信道--总结记录
- 深入RUST标准库内核(六)—Iterator
- 基于Linux的tty架构及UART驱动详解
- 网站被恶意篡改了,这样去解决就好