2024年6月5日发(作者:)

注册表键值“AppInit_Dlls”的介绍

很著名的启动项:AppInit_Dlls键值。

AppInit_Dlls键值位于注册表

HKLMMicrosoftWindowsNTCurrentVersionWindows下面,相对于

其他的注册表启动项来说,这个键值的特殊之处在于任何使用到

的EXE、DLL、OCX等类型的PE文件都会读取这个地方,

并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的

方式是调用LoadLibrary。

验证方法有很多,最容易想到的就是使用调试器,在LoadLibrary调

用的时候下断点,你会发现读取了这个键值并且使用了

LoadLibrary去调用这个键值指向的DLL文件。一个更好的方法就是

看看KB197571的介绍了。

AppInit_Dlls的键值是一个非常危险的键值,从某种程度上来说,

这是一个Windows最容易被人利用的漏洞,因为只要有任何的恶意软

件在这里进行了修改,那么就意味着任何使用到的进程

都会被AppInit_DLLs指向的DLL所注入。因为进程内部的DLL是共

享整个进程空间的,因此意味着进程里面的DLL是可以控制整个进程

的行为的。由于是一个非常非常通用的DLL,它提供了

大多数Win32用户界面、消息相关的功能,只有极少数的程序不会使

用,因此一旦有恶意软件修改了AppInit_Dlls键值,那

么整个系统都有可能处于非常危险的状态。

众所周知,Windows服务程序的启动时机是可以非常早的,往往在用

户登录之前就完成启动了,而这个时候最常见的Run键值还不一定被

处理完,而且Windows服务程序拥有相当高的权限(默认是

LocalSystem,可以对系统里面所有的资源进行操作),因此如果一

个恶意软件被加载到Windows服务里面,那么是会非常危险的。前文

提到,任何进程使用了,都会对AppInit_Dlls键值指向

的DLL进行加载,如果是一个Windows服务程序,也不例外!

由于AppInit_Dlls是一种系统全局性的Hook(system-widehook),

要规避此类的Hook的确很困难,虽然使用驱动程序进行保护能够规

避此类问题,但也不是非要使用驱动程序进行处理的。前文说过,只

有当使用到这个模块的时候才会触发读取AppInit_Dlls

指向的DLL,如果不使用,那么AppInit_Dlls是不会被

使用到的。但是要让一个程序不使用会变得非常困难(命

令行窗口没有使用),因为任何的窗口、消息都和这个

模块有关,为了保证有良好的用户体验,100%的窗口程序都和这个模

块有关。从开发角度来说,最好的一种解决办法就是将程序功能逻辑

和界面逻辑完全分离,功能逻辑模块负责功能,界面逻辑模块负责界

面显示,2者之间采用IPC机制进行交互,功能逻辑模块不依靠

,,而且作为独立进程进行处理,这样就可以规避

AppInit_Dlls造成的Hook了。

类似的Windows安全相关的缺陷点其实还有很多的,这些缺陷点的来

源是为了保证向下的兼容性。相信MIcrosoft已经发现并正在修补这

些地方,从WindowsVista上可以看到,AppInit_Dlls的键值在

WindowsVista上是不起作用的,因此在WindowsVista里面,这个键

值已经被抛弃了(改用另外一个键值执行类似的功能,但是增加了基

于UAC的安全防护)。