DLL劫持备忘录

最新推荐文章于 2023-08-12 14:18:18 发布
最新推荐文章于 2023-08-12 14:18:18 发布
阅读量608 收藏 3
点赞数
分类专栏: 备忘录 DLL劫持 文章标签: 备忘录 DLL劫持

DLL劫持备忘录

Windows DLL劫持的几个知识点

## 0x01 DLL劫持原理 ##
1、每个DLL都有一个入口函数(DLLMain),系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数:

 1. 进程装载DLL。
 2. 进程卸载DLL。
 3. DLL在被装载之后创建了新线程。
 4. DLL在被装载之后一个线程被终止了。

2、个DLL文件中都包含有一个导出函数表也叫输出表(存在于PE的.edata节中)
3、LoadLibray
调用LoadLibrary函数时,系统会依次从下面几个位置去查找所需要调用的DLL文件。

 5. 程序所在目录。
 6. 加载 DLL 时所在的当前目录。
 7. 系统目录即 SYSTEM32 目录。
 8. 16位系统目录即 SYSTEM 目录。
 9. Windows目录。
 10. PATH环境变量中列出的目录

微软为了防止DLL劫持漏洞的产生,在XP SP2之后,添加了一个SafeDllSearchMode的注册表属性。注册表路径如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SafeDllSearchMode

当SafeDllSearchMode的值设置为1,即安全DLL搜索模式开启时,查找DLL的目录顺序如下:

 11. 程序所在目录
 12. 系统目录即 SYSTEM32 目录。
 13. 16位系统目录即 SYSTEM 目录。
 14. Windows目录。
 15. 加载 DLL 时所在的当前目录。
 16. PATH环境变量中列出的目录。

XP系统之后发布的Windows,默认情况下未开启安全DLL搜索模式。
4、只能从System32下调用的DLL
微软为了更进一步地防御系统DLL被劫持,将一些容易被劫持的系统DLL写入进了一个注册表中,凡是此项下的DLL文件就会被禁止从EXE自身所在目录下调用,而只能从系统目录System32目录下调用。注册表路径如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

5、Windows操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径,之后,应用程序就将DLL载入了自己的内存空间,执行相应的函数功能。
6、微软又莫名其妙的允许用户在上述注册表路径中添加“ExcludeFromKnownDlls”注册表项,排除一些被“KnownDLLs注册表项”机制保护的DLL。也就是说,只要在“ExcludeFromKnownDlls”注册表项中添加你想劫持的DLL名称就可以对该DLL进行劫持,不过修改之后需要重新启动电脑才能生效。
7、劫持思路
在上述描述加载DLL的整个过程中,DLL劫持漏洞就是在系统进行安装“DLL路径搜索目录顺序”搜索DLL的时候发生的。无论安全DLL搜索模式是否开启,系统总是首先会从程序所在目录加载DLL,如果没有找到就按照上面的顺序依次进行搜索。那么,利用这个特性,攻击者就可以伪造一个相同名称,相同导出函数表的一个“假”DLL,并将每个导出函数转向到“真”DLL。将这个“假”DLL放到程序的目录下,当程序调用DLL中的函数时就会首先加载“假”DLL,在“假”DLL中攻击者已经加入了恶意代码,这时这些恶意代码就会被执行,之后,“假”DLL再将DLL调用流程转向“真”DLL,以免影响程序的正常执行。

0x02 如何编写一个劫持DLL

编写一个用于劫持指定DLL的DLL文件,需要两个步骤:

 1. 查看被劫持的DLL的导出函数表。
 2. 编程实现劫持DLL向原DLL的导出函数的转发,并加入你的“恶意代码”。

0x03 劫持windows的DLL

要分析一个应用程序是否存在劫持系统DLL的漏洞,需要这么几个步骤:

 1. 启动应用程序
 2. 使用Process Explorer等类似软件查看该应用程序启动后加载的动态链接库。
 3. 从该应用程序已经加载的DLL列表中,查找在上述“KnownDLLs注册表项”中不存在的DLL。
 4. 编写第三步中获取到的DLL的劫持DLL。
 5. 将编写好的劫持DLL放到该应用程序目录下,重新启动该应用程序,检测是否劫持成功。

0×04 DLL劫持漏洞的防御

对于DLL劫持漏洞产生的原因,并不能单一的归咎于微软,只能说这是微软的一个“设计缺陷”,要从根本上防御DLL劫持漏洞,除了微软提供的“安全DLL搜索模式”和“KnownDLLs注册表项”机制保护DLL外,开发人员必须要做更多来保护应用程序自身。开发过程中,调用LoadLibrary,LoadLibraryEx等会进行模块加载操作的函数时,使用模块的物理路径作为参数。在程序调用DLL时使用“白名单”+ “签名”进行DLL的验证。或者在开发应用程序时,在代码开头调用SetDllDirectory函数,把当前目录从DLL的搜索顺序列表中删除,不过这个API只能在打了KB2533623补丁的Windows7,2008上使用。-_-!

不过即使使用了这些防御措施,DLL劫持漏洞依旧可能会存在,更何况目前很多厂商对于DLL劫持漏洞都是持“忽略”的态度。

[参考链接]
老树开新花:DLL劫持漏洞新玩法 - Freebuf

flingmm
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL劫持技术研究
不忘初心,护天下安全!
06-01 451
DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。 在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件。Windows操作系统通过“DLL路径搜索目录顺序”和“Know DLLs注册表项”的机制来确定应用程序所要调用的DLL的路径,之后,应用程序就将DLL载入了自己的内存空间,执行相应的函数功能。DLL路径搜索目录顺序1.程序所在目录2.程序加载目录(SetCurrentDirectory
劫持系统IpHlpApi.dll.zip
08-06
劫持系统IpHlpApi.dll.zip----------------------------------------
c语言编写劫持dll,c语言-----劫持系统03
weixin_33711871的博客
05-21 274
1. 回顾在前2节我们已经实现了劫持原理、函数指针等一些概念,下面进行系统劫持2. 工具vs2017Detours3. windows如何创建一个进程?(1)创建进程函数CreateProcessW(LPCWSTR lpApplicationName,//执行程序名称LPWSTR lpCommandLine, //命令行LPSECURITY_ATTRIBUTES lpProcessA...
dll劫持
qq_46804551的博客
05-04 5962
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
如何防止DLL劫持
weixin_30646505的博客
10-18 335
  DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。   这个想法可以通过修改注册表实现。   在注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\...
version.dll 劫持源代码
01-08
**version.dll 劫持源代码详解** 在Windows操作系统中,`version.dll` 是一个系统级的动态链接库,主要用于处理应用程序的版本信息。它包含了读取和验证PE(Portable Executable)文件版本资源的函数。然而,有些...
dll劫持工具.zip
10-05
DLL劫持DLL Hijacking)是一种在Windows操作系统中利用动态链接库加载机制的安全漏洞进行攻击的技术。DLL文件是Windows系统和应用程序中广泛使用的组件,它们包含可重用的代码和数据,供多个程序共享。当一个程序...
DLLjiechi.zip_delphi 网络_dll_dll劫持_挟持源码
09-22
DLL劫持,又称为DLL挟持,是一种常见的黑客攻击手段,通过篡改程序对DLL的加载顺序或路径,使得恶意的DLL文件得以执行,从而达到控制或监视系统的目的。本篇文章将深入探讨DLL劫持的概念、原理,并结合Delphi编程...
DLL劫持生成软件
08-24
DLL劫持是一种安全漏洞利用技术,攻击者通过将恶意版本的DLL文件放置在系统路径或应用程序搜索路径中,使得程序在运行时错误地加载这个恶意版本,从而实现对系统的控制或数据窃取。 DLL劫持生成软件是一种工具,...
dll劫持payload.dll弹出计算器
03-18
dll劫持payload.dll弹出计算器
win10无法识别usb的补丁
02-17
win10无法识别usb的补丁,在进行华为b310路由器等的拆机刷写时在win10下不识别usb设备的补丁
DLL劫持,注入DLL的一种方法
zhangmiaoping23的专栏
04-13 6997
先转一篇文章:http://hi.baidu.com/e1mer/item/eae9381377ada2f3756a84b8 1.dll劫持,粗略整理了下,可以劫持dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入K
【转】Ring3下Dll注入方法整理汇总
MA540213的专栏
01-10 450
原帖地址:https://www.cnblogs.com/daxingxing/archive/2011/12/16/2290353.html 1. lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从...
Dll注入技术之劫持注入
热门推荐
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
knowndlls反劫持
weixin_30500105的博客
07-29 534
KnownDlls必须是在系统目录中,并且是在系统启动的时候,从注册表读取KnownDlls列表。之后,如果加载这个dll,首先搜索系统目录,其次搜索当前目录。 系统自带KnownDlls,读取注册表里的dll,就不管其他的dll了 knowndlls,顾名思义,是指系统目录默认加载的DLL,现在病毒伪装的马甲DLL置于文件启动目录之下伺机启动早已不是什么有创意的做法。应用程序启动前...
KnownDll Herpaderping实现无文件进程注入
dzqxwzoe的博客
08-12 233
本文是对 Windows Process Injection: KnownDlls CachePoisoning的整理学习,并与Herpadering技术结合实现无文件注入。
KnownDlls
小憩一下
05-01 1680
KnownDlls是windows下的一种用来缓存经常用到的DLL文件的机制。更准确地说,是被用来加快应用程序对DLL文件的加载速度的机制;也可以被当做是一种安全机制,因为它能够阻止恶意软件植入木马DLL。 knowndlls,顾名思义,是指系统目录默认加载的DLL,现在病毒伪装的马甲DLL置于文件启动目录之下伺机启动早已不是什么有创意的做法。应用程序启动前优先加载当前目录下的
Ring3下Dll注入方法整理汇总
weixin_33834628的博客
12-16 290
1.dll劫持,粗略整理了下,可以劫持dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载, 不过可以将lpk.dll加入ExcludeFromKnown...
WIN7下DLL劫持,注入
非鱼
03-23 7839
综述: dll劫持,粗略整理了下,可以劫持dll有: lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 一、修改注册表,使得程序从执行文件所在目录加载DLL XP: 把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr
易语言编写dll劫持补丁
最新发布
09-17
易语言是一种简单易学的编程语言,可以用来编写Windows下的应用程序。在编写dll劫持补丁时,可以使用易语言来实现。 首先,dll劫持是指通过修改被劫持的进程加载的dll路径或名称,使其加载恶意的dll文件。编写dll劫持补丁实际上是为了修复这个漏洞,使被劫持的进程加载正确的dll文件。 在易语言中,可以使用WinAPI函数来完成这个任务。首先,需要用到的函数有以下几个:LoadLibrary函数,用于加载dll文件;GetModuleFileName函数,用于获取正在运行的进程模块的文件名;GetWindowsDirectory函数,用于获取Windows目录;GetProcAddress函数,用于获取函数地址;SetWindowText函数,用于设置窗口文本。 具体的步骤如下: 1. 使用GetModuleFileName函数获取当前运行的进程的文件名; 2. 使用GetWindowsDirectory函数获取Windows目录; 3. 使用SetWindowText函数设置窗口文本,提示正在修复dll劫持; 4. 使用LoadLibrary函数加载正确的dll文件; 5. 使用GetProcAddress函数获取正确的函数地址; 6. 修改被劫持的函数指针为正确的地址; 7. 修复完成后,使用SetWindowText函数恢复窗口文本。 以上就是使用易语言编写dll劫持补丁的基本思路和步骤。需要注意的是,这只是一种简单的办法,不能解决所有的dll劫持问题,对于复杂的劫持行为可能需要使用其他更底层的编程语言和技术进行修复。同时,在使用这种修复方法时,也要遵循法律法规,确保程序的合法性和正当性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值