系统有一套标准的搜索DLL路径的规则,这套规则又分为两种搜索模式,安全搜索模式,非安全搜索模式。
默认情况下启用安全DLL搜索模式。要禁用此功能,需创建HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode注册表值并将其设置为0。
如果启用了SafeDllSearchMode,则搜索顺序如下:
1.应用程序所在的目录。使用GetModuleFileName获取exe所在的目录
2.系统目录即SYSTEM32目录。使用GetSystemDirectory函数获取此目录的路径。
3.16位系统目录即SYSTEM的目录。
4.Windows目录。使用GetWindowsDirectory函数获取此目录的路径。
5.加载DLL时所在的当前目录。使用GetCurrentDirectory获取此目录的路径
6.PATH环境变量中列出的目录。
如果禁用了SafeDllSearchMode,则搜索顺序如下:
- 应用程序所在的目录
- 加载DLL时所在的当前目录。
- 系统目录即SYSTEM32目录
- 16位系统目录即SYSTEM的目录。
- Windows目录。
- PATH环境变量中列出的目录。
如果一个程序所需的DLL在本机的Known DLLs列表中存在,系统将直接使用这个已知的DLL而不会去搜索DLL。
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs。
Windows操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径,之后,应用程序就将DLL载入了自己的内存空间,执行相应的函数功能。
不过,微软又莫名其妙的允许用户在上述注册表路径中添加“ExcludeFromKnownDlls”注册表项,排除一些被“KnownDLLs注册表项”机制保护的DLL。也就是说,只要在“ExcludeFromKnownDlls”注册表项中添加你想劫持的DLL名称就可以对该DLL进行劫持,不过修改之后需要重新启动电脑才能生效。
在上述描述加载DLL的整个过程中,DLL劫持漏洞就是在系统进行安装“DLL路径搜索目录顺序”搜索DLL的时候发生的。无论安全DLL搜索模式是否开启,系统总是首先会从程序所在目录加载DLL,如果没有找到就按照上面的顺序依次进行搜索。那么,利用这个特性,攻击者就可以伪造一个相同名称,相同导出函数表的一个“假”DLL,并将每个导出函数转向到“真”DLL。将这个“假”DLL放到程序的目录下,当程序调用DLL中的函数时就会首先加载“假”DLL,在“假”DLL中攻击者已经加入了恶意代码,这时这些恶意代码就会被执行,之后,“假”DLL再将DLL调用流程转向“真”DLL,以免影响程序的正常执行。
如何编写一个劫持的DLL?
编写一个用于劫持指定DLL的DLL文件,需要两个步骤:
1.查看被劫持的DLL的导出函数表。
2.编程实现劫持DLL向原DLL的导出函数的转发,并加入你的“恶意代码”。
提供一个version.dll劫持的源码
链接: https://pan.baidu.com/s/1NdBAYcfzBmuTOo_xFuPrQQ 提取码: dxms
最后发两个相关的链接:
一款通用的DLL劫持
https://github.com/anhkgg/SuperDllHijack
一个批量验证DLL劫持的工具