what is "Image File Execution Options" ?

Image File Execution Options

프로세스 시작 시 "CreateProcess" 는
> 첫 단계로 실행파일 이미지를 찾은 후
> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options을 열어서 서브키 중 이름과 확장자가 실행파일 이미지와 같은 것이 존재하면
> 그 키 아래 Debugger 항목의 값을 확인 하여
> 해당 값이 있으면
> 이 값을 이미지 이름으로 바꾼 후
> 다시 첫 단계인 실행파일 이미지를 찾는 단계로 이동 한다.

이런 특징을 이용하여 Windows의 서비스 프로세드들이 시작되기 전에 시작 코드를 디버거할 수 있다. 보통의 경우 서비스를 디버깅할 때에는 서비스가 시작된 다음에 디버거를 붙이므로 시작 코드는 디버그를 하지 못한다.

또 이런 특징을 악용하여 바이러스가 작동하도록하는 경우도 있다.