从 Window 不安全dll加载 漏洞 来看Windows系统漏洞

最新推荐文章于 2022-03-30 11:39:52 发布
最新推荐文章于 2022-03-30 11:39:52 发布
阅读量934 收藏
点赞数
分类专栏: 代码安全 文章标签: windows dll 编译器 exe 框架 制造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TDGX2004/article/details/6045769
版权

    动态库,一直伴随着windows操作系统, 属于windows系统设计框架的一部分, 从这两年流行的后门木马病毒来看, 一大部分利用了此漏洞,可以说这是Windows设计的失误.
 
    1.主要原因是:过于灵活的接口制造成的。
 
    因函数调用通过固定顺序排列的函数入口表来执行代码,所以只要模拟一个动态库一模一样的DLL文件,即可欺骗调用着来执行恶意代码。
 
    2.另一个原因是,使用了固定的动态库文件搜寻加载方式,只要将需要欺骗的动态库放在exe当前文件夹下,即可,对于用户而言,根本不知道那是危险文件。
 
    虽然系统保护了系统所需要的动态库文件,可是保护不了所有应用程序层的动态库
 
    问题1.解决方案:
    1.对动态库加载前进行MD5校验,对系统的PE Loader进行升级,或者有开发着,自己手动编写验证代码.
    2.由编译器对动态库的调用改为偏移地址直接调用,而非通过函数转表间接调用.
      只要不改变原来的结构,调用就没有问题,如果dll升级扩展 ?(想知道请关注)
 
    问题2.解决方案:
    1.编写代码时不要用LoadLibrary() GetProcAddress() 来动态调用
    2.使用通过系统变量取得固定路径调用系统提供的动态库
    3.在EXE/DLL导入表增加导入库的路径标志,比如:0,从系统目录寻找,1.从当前目录寻找
      第3点需要系统的 PE Loader 来支持

杨小卫
关注
专栏目录
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
内网渗透-windows权限维持的方法
lza20001103的博客
08-26 1199
windows权限维持的方法 文章目录windows权限维持的方法一、影子账户二、粘滞键后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持 一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用
近300个 Windows 10 可执行文件易受 DLL 劫持攻击
smellycat000的专栏
06-28 5662
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队一个简单的VBScript就能使用户获得管理员权限并完全绕过Windows 10的UAC。英国普华永道公司的安全研究员...
深入分析Windows和Linux动态库应用异同
Mycro的专栏
12-05 1894
摘要:动态链接库技术实现和设计程序常用的技术,在Windows和Linux系统中都有动态库的概念,采用动态库可以有效的减少程序大小,节省空间,提高效率,增加程序的可扩展性,便于模块化管理。 但不同操作系统的动态库由于格式 不同,在需要不同操作系统调用时需要进行动态库程序移植。本文分析和比较了两种操作系统动态库技术,并给出了将Visual C++编制的动态库移植到Linux上的方法和经验。 1、引言
【Linux技术】Windows与Linux系统下的库·初探
weixin_34319999的博客
06-30 179
库的定义     库文件是一些预先编译好的函数的集合,那些函数都是按照可再使用的原则编写的。它们通常由一组互相关联的用来完成某项常见工作的函数构成,从本质上来说库是一种可执行代码的二进制形式,可以被操作系统载入内存执行。   无论在Windows 平台还是Linux平台下都存在大量的库,但由于Windows 和Linux 的本质不同,因此二者的库的二进制是不兼容的。 库的分类  Win...
使用dlopen动态链接库的一个问题
Swallow_he的博客
12-16 1641
当我们采用异步事件驱动模型,保证主程序逻辑不变,将各个业务用动态链接库的形式加载进来,这就是所谓的插件。linux和Windows提供了加载和处理动态链接库的系统调用,非常方便。该文章记录一个在使用过程中的问题。 1、Linux Linux提供了一套API来动态装载库: dlopen,打开一个动态库,并为使用该库做些准备。 dlsym,在打开的库中查找符号的值。 dlclose,关闭库。 dlerror,返回一个描述最后一次调用dlopen、dlsym,或dlclose的错误信息的字符串。
动态链接库dlopen的函数的使用
热门推荐
爱雨的专栏
12-13 4万+
转自:http://blog.const.net.cn/a/17154.htm 编译时候要加入 -ldl (指定dl库) dlopen 基本定义 功能:打开一个动态链接库 [喝小酒的网摘]http://blog.const.net.cn/a/17154.htm 包含头文件:  #include   函数定义:  void * dlopen( const char * p
Red Team后漏洞利用秘籍:如何使用C#语言实现系统调用
systemino的博客
05-21 725
0x00 前言 在过去的一年中,安全社区(特别是红方运营团队和蓝方防御团队)持续关注Windows恶意软件如何实现后漏洞利用活动,以及如何绕过终端检测与响应(EDR)设备。 现在,对于某些防御人员来说,这种技术的使用还是比较陌生的,但对于攻击者来说却并非如此。许多年来,很多恶意软件作者、开发人员甚至是游戏破解者都在尝试利用系统调用和内存加载。其最初目标是绕过某些通过反病毒和反作弊引擎之类的工具来实现的限制和安全措施。 在一些文章中,已经介绍过如何...
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
网络安全之应急响应
赤赤三的博客
03-30 1534
应急响应(是有一整套流程的): 原理: 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施 阶段: 准备->启动->抑制->根除->恢复->跟进 准备应急工具,相应的应急文档、合同、保密协议,开会沟通 启动:讨论这个是怎么进来的 抑制:切断受感染主机,拔网线,网络隔离 根除:查找病毒木马,分析日志,溯源,打补丁 恢复:业务恢复 跟进:监控,看是否还会进来 详细流程: 准备阶段: ..
采用dlopen、dlsym、dlclose加载动态链接库【总结】
weixin_34159110的博客
05-23 2020
1、前言   为了使程序方便扩展,具备通用性,可以采用插件形式。采用异步事件驱动模型,保证主程序逻辑不变,将各个业务已动态链接库的形式加载进来,这就是所谓的插件。linux提供了加载和处理动态链接库的系统调用,非常方便。本文先从使用上进行总结,涉及到基本的操作方法,关于动态链接库的本质及如何加载进来,需要进一步学习,后续继续补充。如何将程序设计为插件形式,挖掘出主题和业务之间的关系,需要进一步去...
动态链接库dlopen等函数的使用
MatthewMao
09-19 1万+
转自:http://blog.const.net.cn/a/17154.html 编译时候要加入 -ldl (指定dl库) dlopen 基本定义 功能:打开一个动态链接库  包含头文件:  #include   函数定义:  void * dlopen( const char * pathname, int mode );  函数描述:  在dlopen的()函数以指定模式打
动态库的动态链接、打开、调用,使用dlopen、dlsym和dlclose
VictorZhang
05-24 9599
动态库的动态链接、打开、调用,使用dlopen、dlsym和dlclose  为了使程序方便扩展,具备通用性,可以采用插件形式。采用异步事件驱动模型,保证主程序逻辑不变,将各个业务已动态链接库的形基本的操作方法,式加载进来,这就是所谓的插件。Unix, linux和windows都有提供加载和处理动态链接库的系统调用,非常简单; 基本的操作方法 动态链接库如何被加载进来?动态
Dll劫持漏洞的价值和原理
摔不死的笨鸟的博客
07-07 1417
DLL加载顺序 "安全DLL查找模式"默认是启用的,禁用的话,可以将注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode设为0。 Windows从XP sp2开始默认开启SafeDllSearchMode(安全dll搜索模式),此模式关闭情况下,软件缺省的DLL文件的搜索顺序如下: 一、可执行程序加载的目录 二、应用程序打开某文件的所在目录(比如C:\Documents and Set
浅谈DLL劫持
chenyanxu的专栏
01-17 1780
最近在搞内网,需要实现免杀后门,大佬推荐了dll劫持,DLL劫持后,能干很多事情,比如杀软对某些厂商的软件是实行白名单的,你干些敏感操作都是不拦截,不提示的。还有留后门,提权等等。本文主要介绍如何检测dll劫持,以及实例演示。 1|0DLL劫持 1|1dll文件是什么? DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。...
动态注入技术
hpp24的专栏
08-06 4220
我们在讨论动态注入技术的时候,APIHook的技术由来已久,在操作系统未能提供所需功能的情况下,利用APIHook的手段来实现某种必需的功能也算是一种不得已的办法。在Windows平台下开发电子词典的光标取词功能,这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows95,还是32位的Windws NT,
Windows系统安全配置详规:关键步骤与策略
本文档是一份系统安全配置技术规范的详细指南,适用于Windows操作系统,版本为V0.9,发布日期为2022年6月3日。该规范主要涵盖了账号管理、口令策略、日记记录、IP合同安全、服务配置以及额外的安全措施等多个方面。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值