了解Windows注册表安全漏洞

即使用户并不太了解Windows注册表，但他们知道编辑注册表可能是非常危险的。然而，最近的发现表明编辑注册表不是用户唯一需要担心的事情。笔者将告诉我们最新发现的关于Windows注册表的安全漏洞，该采取哪些步骤来保护系统。

当同事提到Windows 95的十周年纪念日刚刚过去，尽管我对大多数事情的都并不十分怀旧，但想到计算机的历史，我确实也想喝一杯。

1995年，我还在做很多关于Windows 3.1的编程工作，事实上，我还有一些从Microsoft Developer Network那里得来的CD-ROM。事实上，十年前，当微软发布Windows 95的时候，我刚刚完成了一款针对Windows 3.1的个性化视频驱动器。

顺便提一句，我的视频驱动在完工前很久就已经被废弃了，部分是因为Windows 95的发布。我不但花了大量的时间，编写了数千行的C语言和汇编语言的程序，同时也用实际行动证明了在要求的时间进度内，完成一个安全可靠的软件有多么困难。

Windows 95和MS-DOS的Windows版本相差很远，它从Windows NT和OS/2借鉴了很多功能和概念，那个时候微软还在和IBM一起开发。同样，它也混合了新、旧Windows的功能，有很多概念和想法来自OS/2。

在这些新功能中，就包含了Windows注册表，这种针对原来.ini文件系统的独特访问方式在微软之前的操作系统中是没有的。尽管注册表在Windows 3.11中就已经出现了，但是在Windows 95出现之前，一直很少有人了解Windows注册表。

基本上，注册表是一个存储键和值的数据库，它取代了Windows中的.ini系统的地位，并扩展了它的功能。但是即使用户对Windows注册表仅仅是略有了解，我也相信他么应该知道编辑注册表具有潜在的风险性。一次错误的操作可能会对操作系统造成不可挽回的破坏。

但是最近的一项发现表明编辑并不是Window注册表面临的唯一风险。安全公司Secunia在8月下旬发布了一项警告，警告中透露了注册表编辑器在处理长串名方面的一个错误。

显然，长度超过254个字符的注册表值项在微软的图形化注册表工具中是不可见的，这会带来一些问题。Secunia为这个问题定级为非紧急，该安全漏洞让黑客能够在计算机上隐藏恶意软件。

早期的设计缺陷在新的Windows里继续暴露出来，这个注册表安全漏洞是这方面的一个最新范例。而且这有些讽刺意味：微软很多次都表示对注册表非常骄傲，因为它防止了“一般”用户调整或者修改Windows的完整设置。但是软件巨人忽略了注册表丝毫不能阻挡技巧高超的恶意软件编写者的步伐。

所以企业们应该注意，无论是Regedit还是Regedt32都不能完整显示长的注册表值项，以及在长的父值项下面的键或值。无论这一风险的等级是否为紧急，它确实是一个安全风险，恶意软件编写者已经开始利用这一安全漏洞。

病毒、特洛伊木马和其他的恶意软件通常会通过弄乱注册表来造成破坏，比如增加启动值项。但是现在潜在的攻击者有了另外一种方式，这种方式能够保持值项在微软图形化注册表工具中的可见性。

更为糟糕的是，并不仅仅是Regedit and Regedt32工具不能够显示长注册表值项。很多商业反间谍软件工具，包括微软自己的Windows AntiSpyware也都做不到这一点。

但是，用户也有其他选择。现在Windows 中自带的Reg.exe命令行注册表工具就可以显示出那些在微软图形化注册表工具中不能显示的长注册表值项，当然，前提是知道键值在哪里。

当然，这样的工具对于普通用户来说是很少使用的；不过总有些人知道他们在用注册表做什么。所以我们又一次面临了这样的问题：细节，尽管有趣，却和解决真正的问题无关。Windows注册表成为了各种恶意软件的最好的藏身之所：恶意软件在注册表编辑器中不可见，而绝大部分用户甚至都不会去碰注册表。

如果用户曾经推迟在公司内部的Windows系统上安装反间谍软件，那么不要再等待了。诸如BHODemon、Spybot Search & Destroy和HijackThis之类的工具能够发现长注册表值项。而且它们也都是免费使用的。但是要记得关于Windows注册表最重要的规则是：随意调整注册表会导致电脑不能启动。

（责任编辑：陈毅东）

查看本文的国际来源