суббота, 19 марта 2011 г.

Опасайтесь ключа Image File Execution Options

Это перевод Beware the Image File Execution Options key. Автор: Реймонд Чен.

Опасайтесь ключа реестра Image File Execution Options (ещё). Его силы могут быть использованы во зло так же хорошо, как и для добра.

Его главная цель - гарантировать запуск программы под отладчиком, вне зависимости от того, как она запускается (и вторичная цель: изменить, как система работает с программой). Это очень удобно, если вам нужно отладить программу "на воле", а не в контролируемом окружении вашей любимой IDE. К примеру, вы можете использовать его, чтобы отладить программу, которая запускается другой программой, которую вы не контролируете.

Вот две вещи, которые обычно забывают:
  1. Если вы сделаете ошибку при указании отладчика, то программа вообще не сможет запуститься. К примеру, если вы неверно укажете путь к отладчику (или вы удалили отладчик), то вы получите ошибку ERROR_FILE_NOT_FOUND каждый раз, когда вы запускаете целевую программу - потому что система не может найти отладчик.
  2. Не забудьте удалить ключ для вашей программы, когда он вам больше не нужен. Иначе вы будете долго думать, почему это у вас внезапно запускается отладчик.
Но ключ реестра Image File Execution Options можно использовать и в злых целях. Malware может устанавливать себя как "отладчик" для часто запускаемых программ (вроде Проводника) - и, таким образом, встроить себя в цепочку запуска.

Заметьте, что подобное использование ключа реестра Image File Execution Options не является брешью в безопасности системы. Вам потребуются администраторские привилегии, чтобы изменить этот ключ реестра. Соответственно, любой, кто может воспользоваться этой возможностью, уже владеет вашей машиной.

Комментариев нет:

Отправить комментарий

Можно использовать некоторые HTML-теги, например:

<b>Жирный</b>
<i>Курсив</i>
<a href="http://www.example.com/">Ссылка</a>

Вам необязательно регистрироваться для комментирования - для этого просто выберите из списка "Анонимный" (для анонимного комментария) или "Имя/URL" (для указания вашего имени и ссылки на сайт). Все прочие варианты потребуют от вас входа в вашу учётку.

Пожалуйста, по возможности используйте "Имя/URL" вместо "Анонимный". URL можно просто не указывать.

Ваше сообщение может быть помечено как спам спам-фильтром - не волнуйтесь, оно появится после проверки администратором.

Примечание. Отправлять комментарии могут только участники этого блога.