레지스트리의  image file execution options 키에 대하여 알아보겠습니다.


윈도우 응용프로그램이 실행되는 과정이 사용자들은 실제 응용프로그램을 실행한다고 생각하지만

실행 전 레지스트리의 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options]

키를 확인하고 하위키 값에 실행하려는 이미지가 존재하면 Debugger 값을 참조하여 해당 값에 연결되어 있는 이미지를

먼저 실행하게 됩니다.

이는 프로세스를 실행 시키는 CreateProcess가 image file execution options를 먼저 참조하기 때문입니다.


디버깅을 위한 기능이지만 이를 악용하여 악성코드가 작동하도록 이용되기도 합니다.


예를 들면 sethc.exe 는 고정키 기능을 위한 응용프로그램으로 shift키를 연속 5번 누르면 실행이 됩니다.

이것을 악용하여 image file execution options 값에 sethc.exe 하위키를 생성하고 Debugger 값을 cmd.exe로 설정하게

되면 사용자는 sethc.exe를 실행시키지만 실제로는 cmd.exe가 실행되게 됩니다.




sethc.exe는 잠긴화면에서도 실행이 되기 때문에 이를 악용하여 사용자 추가 후 서버에 접속이 가능합니다.