DLL劫持原理&防御方法

最新推荐文章于 2024-06-28 08:01:16 发布
最新推荐文章于 2024-06-28 08:01:16 发布
阅读量2.2w 收藏 43
点赞数 8
分类专栏: 恶意软件分析 文章标签: DLL劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/90287476
版权
DLL劫持是指病毒通过替换正常DLL,欺骗程序加载恶意库。例如,APT32攻击中,病毒创建同名DLL,诱骗程序加载,执行释放360se.exe和chrome_elf.dll等恶意操作。防御方法包括程序加固,如验证DLL的MD5和数字签名。
摘要由CSDN通过智能技术生成

1.原理介绍

DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。

如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。
1

2.实例分析

下面以APT32攻击样本为例作讲解。APT32的钓鱼文件为一个名为《2019年第一季度工作方向附表》的压缩包,解压缩后的文件如下。其中包含一个伪装的exe(word文档图标)和一个dll文件。
2

查看exe文件的属性,发现它是一个具有windows数字签名的合法文件,那么问题就应该出现在那个dll中。
3

wwlib.dll是OFFICE WORD运行必备的dll,正常情况在C:\Program Files (x86)\Microsoft Office\Office16路径下。
4

<
最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
DLL劫持原理学习
Gamma_lab的博客
08-06 1043
0x01 什么是DLL? 百度百科: DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 简而言之: DLL 是一个包含可由多个程序同时使用的代码和数据的库。例
dll劫持
qq_46804551的博客
05-04 6163
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
防范DLL劫持
Nattevak
07-11 1649
防范DLL劫持
DLL劫持技术权限提升及防范
最新发布
Ms08067安全实验室
06-28 874
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》扫描二维码五折购书DLL劫持技术权限提升及防范 Dll劫持原理介绍 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是一种文件类型。在程序运行中,可能会需要一些相对独立的动态链接库,而这些预先放置在系统中的动态链接库文件。当我们执行某一个程序时,相应的DLL文件就会被调用。DLL 是一...
DLL搜索的目录顺序(DLL劫持
WLINX
08-23 1360
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
分析DLL搜索顺序劫持原理
systemino的博客
08-19 647
Context的智能和响应团队已经看到DLL搜索命令被滥用,作为在真实环境中进行网络入侵的一种手段。滥用DLL搜索顺序并利用这种机制来加载一个流氓DLL而不是合法的被称为DLL预加载,或者在MITRE ATT&CK框架中劫持。 在这篇文章中,你将了解更多关于DLL搜索顺序的基本原理,以及合法的二进制文件如何被武器化,并介绍一个通过DLL劫持自动发现适合有效载荷执行的二进制文件的工具。 关于动态链接库 动态链接库(DLL)是一个模块,它包含可以被另一个模块(应用程序或DLL)使用的函数和数据..
科普_DLL劫持原理与实践
KHOST的博客
09-08 1569
0x00 前言 DLL劫持算是一个老的漏洞,而且乌云漏洞库中也有很多的案例,只不过案例更多的只是验证一下,并没有教如何利用。至于为什么专门抓起来再学一遍了,唉,内网渗透需要 0x01 什么是DLL 这里先摘抄一下百度百科的解释: DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可...
version.dll 劫持源代码
01-08
同时,对于安全研究人员,学习`version.dll`劫持的源码分析和逆向工程,可以帮助找出防御策略。 ### 5. 防御措施 - **文件完整性检查**:定期检查系统文件的哈希值,确保没有被篡改。 - **安全软件**:安装并更新...
dll劫持工具.zip
10-05
DLL劫持DLL ...总之,DLL劫持是一种常见的攻击手段,理解其原理和防范措施对保护系统安全至关重要。通过使用像"anhkgg-tools-master"这样的工具,我们可以更有效地检测和防止DLL劫持攻击,提升系统的安全性。
DLL劫持示例程序:EXE+DLL
07-03
综上所述,DLL劫持是一种利用DLL加载机制的攻击技术,而了解其工作原理、编写防御代码和保持软件更新是防止此类攻击的关键。通过学习和研究"DLL_Hijack"这个示例程序,我们可以更好地理解DLL劫持,并提升我们的软件...
DLL劫持-Hijack-原理及其实现细节
08-21
DLL劫持-Hijack-原理及其实现细节
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
DLL劫持原理
liuhaidon1992的博客
01-03 1733
系统有一套标准的搜索DLL路径的规则,这套规则又分为两种搜索模式,安全搜索模式,非安全搜索模式。 默认情况下启用安全DLL搜索模式。要禁用此功能,需创建HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode注册表值并将其设置为0。 如果启用了SafeDllSearchMod...
DLL劫持漏洞原理
VinK1的博客
07-27 3636
DLL劫持最近一段时间实在是忙,乱七八糟的,都没空写博客,但是学习还得继续,最近看了下DLL劫持,严格上说这不能算是漏洞,但是第一次接触感觉有点意思,写出来记录一下吧,老年人了记性不好,小白文章欢迎指正。0x01 劫持原理1.什么是DLL DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个
DLL 劫持原理(运维)
Javachichi的博客
03-29 1568
Windows 应用程序中,实行了模块化设计,也就是说并不是每个应用程序都编写完所有的功能代码,而是在运行过程中调用相应功能的 DLL,不需运行的功能就不调用,所以大大加快了程序的加载速度和效率,其他应用程序也可以调用相关的 DLL,这样也有利于促进代码重用以及内存使用效率,减少了资源占用,而且程序更新时也只要更新相关的 DLL 就可以了。伪造的 dll 制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的 dll 的同名函数,进入劫持 DLL 的代码,处理完毕后,再调用原DLL 此函数。
Dll原理和使用
07-13 6061
『转载』DLL原理。。。    DLL 由4部分构成:代码段,数据段,输出符号表和输入符号表。    代码段只读的,每个进程共享映射到此代码段.    数据段在DLL 中可以定义多个,当DLL被映射到进程时,操作系统会为每个进程都创建一个对应的数据段,并把DLL中的全局数据复制到进程中。因此,如果不采取特别的措施,DLL中的数据段不能跨进程共享。但是可以将数据段的属性修改为共享的,这样该数
DLL劫持漏洞技术原理
liwei8703的专栏
11-17 1434
<br />一、回顾DLL挟持的发展<br />  2010年08月24日微软发布安全公告2269637,提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击,随后DLL劫持漏洞开始大规模传播,金山毒霸云安全实验室也在第一时间发布病毒预警,并发布对应的金山毒霸免疫工具。<br />  2010年08月24日流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有:Wireshark(免费嗅探器),WindowsLiveemail(邮箱客户端),MicrosoftMovie
DLL 劫持原理(运维),网易架构师深入讲解Linux运维开发
2301_77033340的博客
04-17 706
Windows 应用程序中,实行了模块化设计,也就是说并不是每个应用程序都编写完所有的功能代码,而是在运行过程中调用相应功能的 DLL,不需运行的功能就不调用,所以大大加快了程序的加载速度和效率,其他应用程序也可以调用相关的 DLL,这样也有利于促进代码重用以及内存使用效率,减少了资源占用,而且程序更新时也只要更新相关的 DLL 就可以了。伪造的 dll 制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的 dll 的同名函数,进入劫持 DLL 的代码,处理完毕后,再调用原DLL 此函数。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值