1.原理介绍
DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。
如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。
2.实例分析
下面以APT32攻击样本为例作讲解。APT32的钓鱼文件为一个名为《2019年第一季度工作方向附表》的压缩包,解压缩后的文件如下。其中包含一个伪装的exe(word文档图标)和一个dll文件。
查看exe文件的属性,发现它是一个具有windows数字签名的合法文件,那么问题就应该出现在那个dll中。
wwlib.dll是OFFICE WORD运行必备的dll,正常情况在C:\Program Files (x86)\Microsoft Office\Office16路径下。