强大的DLL预加载攻击识别工具 - Rattler
rattlerAutomated DLL Enumerator项目地址:https://gitcode.com/gh_mirrors/rat/rattler
1、项目介绍
Rattler 是由安全专家Chris Le Roy开发的一款自动化工具,旨在识别那些可能导致DLL预加载攻击的动态链接库(DLL)。这款工具的灵感来自于其作者在博客上发表的一篇文章,并在Black Hat Arsenal USA 2017中被提及。通过Rattler,你可以自动枚举应用程序的DLL,以发现和利用可能的DLL预加载漏洞。
2、项目技术分析
Rattler使用C++编写,并在Microsoft Visual Studio 2015环境下编译。它可以测试32位和64位的应用程序。默认情况下,它会使用一个32位的DLL(payload.dll)作为“负载”,这个DLL的功能是启动计算器(calc.exe)。为了检测64位应用,可以配合64位可执行文件使用64位的payload。
Rattler的工作原理包括对目标应用程序进行枚举,检查每个DLL是否可以通过替换路径来实现预加载攻击。如果找到易受攻击的DLL,Rattler将显示该DLL的信息及其可能的风险。
3、项目及技术应用场景
Rattler对于软件开发者和安全研究人员来说非常有用。在软件开发阶段,可以用它来检测潜在的安全风险,确保没有易受DLL预加载攻击的库。而对安全研究员而言,Rattler可以帮助他们快速识别漏洞,进行安全审计或渗透测试。
此外,任何关注系统安全的IT专业人员都可以使用Rattler来定期扫描关键系统组件,以保持系统的安全性。
4、项目特点
- 自动化: 自动枚举并检测DLL的预加载漏洞。
- 跨平台: 支持32位和64位应用程序的测试。
- 直观输出: 清晰地显示哪些DLL可能存在风险,方便立即采取行动。
- 简单易用: 只需提供要检测的可执行文件路径,即可运行。
- 开放源码: 根据Creative Commons许可证授权,允许非商业用途。
使用示例
ratter_32.exe "c:\path\to\target\application.exe" 1
其中:
c:\path\to\target\application.exe
:要检查的可执行文件的路径。1
:枚举模式。
通过简单的命令行参数,你可以轻松地运行Rattler并获取关于目标应用程序的详细信息。
总之,Rattler是一个强大且实用的工具,能够帮助你在预防DLL预加载攻击方面做出明智的选择。立即下载并尝试吧!GitHub仓库提供了编译好的二进制文件以及源代码供您使用。
rattlerAutomated DLL Enumerator项目地址:https://gitcode.com/gh_mirrors/rat/rattler