查看完整版本: Smallfrogs :AppInit_Dlls,一个特殊的注册表键值

铁军 2008-6-27 17:34

Smallfrogs :AppInit_Dlls,一个特殊的注册表键值

原文链接:[url=http://blogs.itecn.net/blogs/smallfrogs/archive/2008/06/16/appinit-dlls.aspx]http://blogs.itecn.net/blogs/sma ... 6/appinit-dlls.aspx[/url]

[align=center][size=5][color=Red]AppInit_Dlls,一个特殊的注册表键值[/color][/size]
[/align]

Smallfrogs   
[url=http://www.kztechs.com/]http://www.KZTechs.com[/url]

  如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。

  AppInit_Dlls键值位于注册表 [color=#333333]HKLM[/color]\Microsoft\WindowsNT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用LoadLibrary。

  验证方法有很多,最容易想到的就是使用调试器,在LoadLibrary调用的时候下断点,你会发现User32.DLL读取了这个键值并且使用了LoadLibrary去调用这个键值指向的DLL文件。一个更好的方法就是看看 [url=http://support.microsoft.com/kb/197571]KB197571[/url] 的介绍了。

  AppInit_Dlls的键值是一个非常危险的键值,从某种程度上来说,这是一个Windows最容易被人利用的漏洞,因为只要有任何的恶意软件在这里进行了修改,那么就意味着任何使用到User32.DLL的进程都会被AppInit_DLLs指向的DLL所注入。因为进程内部的DLL是共享整个进程空间的,因此意味着进程里面的DLL是可以控制整个进程的行为的。由于User32.DLL是一个非常非常通用的DLL,它提供了大多数Win32用户界面、消息相关的功能,只有极少数的程序不会使用User32.DLL,因此一旦有恶意软件修改了AppInit_Dlls键值,那么整个系统都有可能处于非常危险的状态。

  众所周知,Windows服务程序的启动时机是可以非常早的,往往在用户登录之前就完成启动了,而这个时候最常见的Run键值还不一定被处理完,而且Windows服务程序拥有相当高的权限(默认是LocalSystem,可以对系统里面所有的资源进行操作),因此如果一个恶意软件被加载到Windows服务里面,那么是会非常危险的。前文提到,任何进程使用了User32.DLL,都会对AppInit_Dlls键值指向的DLL进行加载,如果是一个Windows服务程序,也不例外!

  由于AppInit_Dlls是一种系统全局性的Hook(system-widehook),要规避此类的Hook的确很困难,虽然使用驱动程序进行保护能够规避此类问题,但也不是非要使用驱动程序进行处理的。前文说过,只有当使用到User32.DLL这个模块的时候才会触发读取AppInit_Dlls指向的DLL,如果不使用User32.DLL,那么AppInit_Dlls是不会被使用到的。但是要让一个程序不使用User32.DLL会变得非常困难(命令行窗口没有使用User32.DLL),因为任何的窗口、消息都和这个模块有关,为了保证有良好的用户体验,100%的窗口程序都和这个模块有关。从开发角度来说,最好的一种解决办法就是将程序功能逻辑和界面逻辑完全分离,功能逻辑模块负责功能,界面逻辑模块负责界面显示,2者之间采用IPC机制进行交互,功能逻辑模块不依靠User32.DLL,,而且作为独立进程进行处理,这样就可以规避AppInit_Dlls造成的Hook了。

  类似的Windows安全相关的缺陷点其实还有很多的,这些缺陷点的来源是为了保证向下的兼容性。相信MIcrosoft已经发现并正在修补这些地方,从WindowsVista上可以看到,AppInit_Dlls的键值在Windows Vista上是不起作用的,因此在WindowsVista里面,这个键值已经被抛弃了(改用另外一个键值执行类似的功能,但是增加了基于UAC的安全防护)。

病毒终结杀手 2008-6-28 09:38

支持

一口心 2008-6-29 08:24

这么危险,有没有什么有效的方法呢?

KSEF0039312 2008-6-29 18:52

KSEF0039312 2008-6-29 18:53

这些内容算几级电脑技术、、、、
我是个菜鸟。。玩玩游戏还行···
可不可以说明下

KSDA16576535 2008-7-2 11:08

Applint_Dlls被损坏后自动开机怎么办?

我的电脑金山清理专家每次都检测到Applint_Dlls被损坏,虽然每次都能修复。但我还是重装了系统。但我已经重装了好几次,下载金山毒霸套装经过检查,一切正常,但就是会自动开机。请教各位专家学者高手大侠,这是怎么回事?我应该怎么办?谢谢!

无you无虑 2008-7-16 12:12

>>

楼上的,现在的金山清理专家已经可以解决这个问题了

icear 2008-7-19 11:21

回复 6楼 的帖子

我也是,修复了,一开机就是老样子

唱到天亮 2008-9-15 17:01

谢谢楼主分享{yxh168}

jarload 2008-10-28 14:01

学习中!!!

yatou 2008-10-30 18:44

谢谢楼主带给我们这么好的知识~
感谢中~

寶寶卟乖 2008-12-23 14:19

{yxh111} 分享中..

yanghaoaxh 2008-12-30 20:44

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows少了一个路径军哥。SOFTWARE
页: [1]
查看完整版本: Smallfrogs :AppInit_Dlls,一个特殊的注册表键值