DLL劫持防御策略

最新推荐文章于 2024-07-14 14:05:57 发布
最新推荐文章于 2024-07-14 14:05:57 发布
阅读量4.5k 收藏 8
点赞数
分类专栏: 病毒木马 文章标签: 安全 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chence19871/article/details/38087155
版权


DLL的搜索路径顺序:

 

·  The directory from which the application loaded.

·  The system directory.

·  The 16-bit system directory.

·  The Windows directory.

·  The current directory.

·  The directories that are listed in the PATH environment variable.

 

防御策略:

1. 保护游戏目录,不是自己的程序不让拷贝。(主要是防止被加入恶意的DLL到游戏的目录,驱动实现)。

2. 创建一份游戏模块的白名单,游戏启动时对游戏目录下的文件进行检查,检查可疑的文件。白名单可本地加密存储。

3. 将容易被劫持的Windows DLL 写进注册表,那么凡是此项下的DLL文件就会被禁止从EXE自身目录下调用,而只能从系统目录,也就是system32目录下调用。防止从游戏目录加载其它DLL。注册表路径:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs]确保用户的机器上面的KnownDLLs下是完整的。

4. 确保windows文件保护功能是打开的。“计算机配置”→“管理模板”→“系统”→“Windows 文件保护”.

5. 将游戏的DLL打上签名,防止自身的DLL被劫持。游戏运行时检查游戏目录下模块的签名。(没有签名拒绝加载--必须确保检查签名服务打开)

注意:通过命令行“net  stop  cryptsvc”关闭签名检验服务可使得客户端签名校验失效。

6. 使用Process Monitor 检查游戏进程的可劫持的DLL 

 

一些针对DLL劫持的安全编码的规范:

     1)调用LoadLibraryLoadLibraryExCreateProcessShellExecute等进行模块加载的函数时,指明模块的完整(全)路径,禁止使用相对路径,这样就可避免从其它目录加载DLL

     2)在应用程序的开头调用SetDllDirectory(TEXT(""));从而将当前目录从DLL的搜索列表中删除,也就是搜索时不搜索当前目录。SetDefaultDllDirectoriesAddDllDirectoryRemoveDllDirectory这几个API配合使用,可以有效的规避DLL劫持问题。可惜的是,这些API只能在打了KB2533623补丁的Windows72008上使用

 

思考:

如果劫持的不是游戏自己的DLL,通常选择劫持那些导出函数较少的不是关键的系统DLL,如USP10.DLL, LPK.DLL, KSUSER.DLL, MIDIMAP.DLLCOMRES.DLL, d3d8.dll, sxs.dll等。可重点检查这些模块。

 

参考:

http://blog.csdn.net/magictong/article/details/6931520

http://security.tencent.com/index.php/blog/msg/20

http://msdn.microsoft.com/en-us/library/windows/desktop/ms682586(v=vs.85).aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/ff919712(v=vs.85).aspx

 

附:

 

WIN 7 x64

 

默认的表里只包含了3个容易被劫持的DLL。可添加其它容易被劫持的DLL到注册表当中。

 

Xp sp3

 

 

 

`北极星
关注
专栏目录
防范DLL劫持
Nattevak
07-11 1651
防范DLL劫持
DLL劫持技术权限提升及防范
Ms08067安全实验室
06-28 878
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》扫描二维码五折购书DLL劫持技术权限提升及防范 Dll劫持原理介绍 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是一种文件类型。在程序运行中,可能会需要一些相对独立的动态链接库,而这些预先放置在系统中的动态链接库文件。当我们执行某一个程序时,相应的DLL文件就会被调用。DLL 是一...
如何避免电脑系统中的 DLL 文件出现问题
最新发布
Cybertronnnnnn的博客
07-14 508
在卸载软件时,使用系统自带的卸载程序或者软件本身提供的卸载工具,确保相关的 DLL 文件被正确清理。在电脑的日常使用中,DLL(动态链接库)文件的稳定运行对于系统和软件的正常工作至关重要。微软等系统提供商通常会通过更新来修复已知的 DLL 文件相关的漏洞和问题,保持系统处于最新状态能有效预防潜在的风险。定期使用系统自带的磁盘检查工具检查磁盘错误,并清理磁盘中的垃圾文件和临时文件。通过以上方法的综合运用,可以大大降低电脑系统中 DLL 文件出现问题的可能性,保障电脑的稳定运行和软件的正常使用。
Dll劫持
weixin_41204880的博客
07-27 286
** 1、 dll文件是什么? ** DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windo
反注册禁用DLL文件
编程爱好者
08-26 1412
 如果想禁用系统某些功能,不妨试试regsvr32.exe的反注册功能。开始->运行,regsvr32 /u *.dll。如图所示:这里以反注册jscript.dll为例,可以禁用IE浏览器的解释jscript功能。  
version.dll 劫持源代码
01-08
同时,对于安全研究人员,学习`version.dll`劫持的源码分析和逆向工程,可以帮助找出防御策略。 ### 5. 防御措施 - **文件完整性检查**:定期检查系统文件的哈希值,确保没有被篡改。 - **安全软件**:安装并更新...
使用MAPI和Microsoft Office保护MFC应用程序中的“ DLL劫持
04-02
标题中的“使用MAPI和Microsoft Office保护MFC应用程序中的‘DLL劫持’”是指一种针对MFC(Microsoft Foundation Classes)应用程序的安全策略,旨在防御DLL(动态链接库)劫持攻击。DLL劫持是黑客利用程序加载DLL的...
DLL劫持概述.pdf
10-06
渗透测试者需要熟悉各种攻击技术和防御策略,以确保测试的全面性和有效性。 综上所述,DLL劫持是一种利用DLL加载机制的攻击手段,理解和防范这种攻击需要深入掌握DLL的工作原理、安全编程技巧以及Windows操作系统的...
各系统劫持DLL源码
03-25
在IT领域,DLL(Dynamic Link ...总之,DLL劫持是一种利用系统加载机制的攻击手段,需要我们深入了解其原理,采取有效的预防措施,同时,对于开发者来说,学习和理解DLL劫持的源码有助于提高安全意识和防御能力。
pc样本学习笔记之DLL劫持与启发查杀.docx
05-10
为了防止DLL劫持,开发者和用户都需要采取一系列的安全措施,包括但不限于限制文件加载路径、使用签名验证以及实施白名单策略等。此外,利用启发式查杀技术可以有效识别和防御未知威胁,为系统提供更全面的安全保护...
Delphi+内联汇编,USP10劫持技术经典之作编译后7.5k
09-17
代码采用delphi内联汇编的编写方式,DLL劫持技术的经典之作,并且运用DELPHI mini编译技术,完整功能的dll不超过8k,一切最精简最高效的delphi编程技术,展现delphi汇编编程的魅力。
DELPHI中调用DLL的方法和一些注意事项和技巧
热门推荐
CrazyCock的专栏
10-16 1万+
原来的文章很多小问题,不过这篇文章不失是一篇DLL学习基础篇文章。(注:文章中的问题未作任何修改)转摘自:http://hanyi.codelphi.com/jiqiao/26.html第一章 为什么要使用动态链接库(DLL)提起DLL您一定不会陌生,在Windows中有着大量的以DLL为后缀的文件,它们是保证Windows正常运行和维护升级的重要保证。(举个例子,笔者的Win95 Sys
Delphi编写网络程序的安全措施
cool99的专栏
09-05 876
Delphi编写网络程序的安全措施Delphi的MIDAS控件为编写网络程序提供了十分方便的手段。利用这些控件,可以编写局域网上的客户机/服务器体系程序,也能方便地在Internet上创建分散处理的应用。网络程序的一个重要问题是安全性考虑。一些敏感数据在网上传送,很有可能被人非法拦截以造成不必要的损失。在实际的编程过程中,我采取了一些有效的防范措施,在此作些简单的介绍。
如何防止DLL劫持
weixin_30646505的博客
10-18 348
  DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。   这个想法可以通过修改注册表实现。   在注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\...
如何保护.net中的dll文件(防止破解、反编译dll)
巴萨,足球的艺术
01-28 1303
如何保护.net中的dll文件(防止破解、反编译dll)  http://www.5icoding.com/n16058.aspx  .net是一种建立在虚拟机上执行的语言,它直接生成 MSIL 的中间语言,再由.net编译器 JIT 解释映象为本机代码并交付CPU执行。中间语言很容易被反编译,所以研究下如何有效的保护dll文件。我大致的方法为 :强签名+混淆+加密。强签名
A25:unity防反编译 windows平台加密dll
.
12-11 752
功能取决于需求,在实现这功能之前,却有一个小小的插曲,有同学认为,并不需要去实现游戏加密,再怎样也会被破解,何必浪费精力。虽然这样说,但是我们所做的加密至少也会增加一点破解成本,不会让我们辛苦写的代码随意被人恶意修改。 下面还是看看具体的实现步骤吧,unity在打包后,会将所有的代码打进一个Assembly-CSharp.dll的文件里面,通过这个文件的反编译,就是详细看见里面的代码内容。我们需要做的就是将这个dll文件加密,让其无法被人反编译出来。其实网上已有很多的关于unity安卓包的加密博文,但是我
DLL劫持”技术的经典-----“LPK劫持者”木马!
weixin_30648963的博客
02-01 250
《LPK劫持者》 “.exe”可执行程序曾遭“威金”病毒的洗劫,导致全盘应用程序被病毒恶意捆绑感染,中了此毒很是麻烦、无奈,而且拥有数百个变种,相信大家对这类蠕虫病毒并不陌生。然而,一直被“.exe”可执行程序加载的“.dll”动态链接库程序也难逃厄运。 近日,我在互联网上捕捉到了一个既全盘感染“.exe”可执行程序又全盘劫持“.dll”动态链接库程序的木马病毒,这就是“LPK劫持者”木马。首...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值