DLL劫持原理&防御方法

最新推荐文章于 2024-03-29 08:29:23 发布
最新推荐文章于 2024-03-29 08:29:23 发布
阅读量2.1w 收藏 42
点赞数 8
分类专栏: 恶意软件分析 文章标签: DLL劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/90287476
版权

1.原理介绍

DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。

如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。
1

2.实例分析

下面以APT32攻击样本为例作讲解。APT32的钓鱼文件为一个名为《2019年第一季度工作方向附表》的压缩包,解压缩后的文件如下。其中包含一个伪装的exe(word文档图标)和一个dll文件。
2

查看exe文件的属性,发现它是一个具有windows数字签名的合法文件,那么问题就应该出现在那个dll中。
3

wwlib.dll是OFFICE WORD运行必备的dll,正常情况在C:\Program Files (x86)\Microsoft Office\Office16路径下。
4

<
最低0.47元/天 解锁文章
G4rb3n
关注
  • 8
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
【漏洞挖掘】——47、 DLL劫持注入浅析
Fly_鹏程万里
06-07 40
基本介绍DLL(Dynamic Link Library,动态链接库)文件是一种包含可重用代码、数据和资源的可执行文件格式,在Windows下许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库(DLL文件)放置于系统中,当我们执行某一个程序时,相应的DLL文件就会被调用,一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件文件加载。
DLL劫持原理学习
Gamma_lab的博客
08-06 1013
0x01 什么是DLL? 百度百科: DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 简而言之: DLL 是一个包含可由多个程序同时使用的代码和数据的库。例
DLL搜索的目录顺序(DLL劫持
WLINX
08-23 1348
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
老树开新花:DLL劫持漏洞新玩法
whl0071的专栏
09-29 616
本文原创作者:丝绸之路 DLL劫持漏洞已经是一个老生常谈,毫无新鲜感的话题了。DLL劫持技术也已经是黑客们杀人越货,打家劫舍必备的武器。那么,随着Win10的诞生,微软是否已经修复了此漏洞?同时在当前的安全环境下,DLL劫持漏洞是否又有新的利用方式和价值? 本文将对DLL劫持漏洞的原理,漏洞实现,漏洞挖掘,漏洞利用,漏洞防御等方面进行分析。 0x01 DLL劫持漏洞原理 在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(D
DLL 劫持原理(运维)
最新发布
Javachichi的博客
03-29 1444
Windows 应用程序中,实行了模块化设计,也就是说并不是每个应用程序都编写完所有的功能代码,而是在运行过程中调用相应功能的 DLL,不需运行的功能就不调用,所以大大加快了程序的加载速度和效率,其他应用程序也可以调用相关的 DLL,这样也有利于促进代码重用以及内存使用效率,减少了资源占用,而且程序更新时也只要更新相关的 DLL 就可以了。伪造的 dll 制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的 dll 的同名函数,进入劫持 DLL 的代码,处理完毕后,再调用原DLL 此函数。
dll 劫持和应用研究
顶峰
03-31 709
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其中供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
3601lpk.dll劫持病毒分析
ZK_1874的博客
10-28 1799
3601lpk.dll劫持病毒分析
lpk.dll劫持
A_ZHAZHAL的博客
07-24 951
文章目录iosguk.exe样本信息PEID 分析火绒剑分析执行监控文件监控服务监控网络监控注册表快照分析IDA 分析WinMain 函数CreateService_0 函数sub_404A63 主函数sub_402B7F 感染共享文件夹sub_40287A 函数sub_404658 网络发包HttpGet 函数sub_4035A3 网络发包hra33.dllIDA 分析DLLEntryPoint...
转帖:DLL劫持技术详解(lpk.dll)
-----------------------------不要在跟自己无关的事情上浪费时间
04-01 1951
说起DLL劫持技术,相信大家都不会陌生,因为这种技术的应用比较广泛,比如木马后门的 启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱,主要是因为该技术可以有效的躲过大部分杀软,并且实现起来技术难度不大。DLL劫持技术也不是什么新技术,记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说,DLL劫持技术就显得很神秘了,本系列教程
version.dll 劫持源代码
01-08
同时,对于安全研究人员,学习`version.dll`劫持的源码分析和逆向工程,可以帮助找出防御策略。 ### 5. 防御措施 - **文件完整性检查**:定期检查系统文件的哈希值,确保没有被篡改。 - **安全软件**:安装并更新...
dll劫持工具.zip
10-05
DLL劫持DLL ...总之,DLL劫持是一种常见的攻击手段,理解其原理和防范措施对保护系统安全至关重要。通过使用像"anhkgg-tools-master"这样的工具,我们可以更有效地检测和防止DLL劫持攻击,提升系统的安全性。
各系统劫持DLL源码
03-25
在IT领域,DLL(Dynamic Link ...总之,DLL劫持是一种利用系统加载机制的攻击手段,需要我们深入了解其原理,采取有效的预防措施,同时,对于开发者来说,学习和理解DLL劫持的源码有助于提高安全意识和防御能力。
DLL劫持示例程序:EXE+DLL
07-03
综上所述,DLL劫持是一种利用DLL加载机制的攻击技术,而了解其工作原理、编写防御代码和保持软件更新是防止此类攻击的关键。通过学习和研究"DLL_Hijack"这个示例程序,我们可以更好地理解DLL劫持,并提升我们的软件...
DLL劫持概述.pdf
10-06
4. **Windows Internals**:深入理解Windows内部的工作原理对于识别和防止DLL劫持至关重要。Microsoft提供了官方文档和书籍,如《Windows Internals》系列,这些资源详细介绍了系统的运行机制,包括进程、线程、内存...
文件上传
weixin_43152809的博客
12-02 263
什么是文件上传漏洞 在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率。比如企业的OA系统,允许用户上传图片、视频、头像和许多其他相关类型的文件。然而向用户提供的功能越多,web应用收到攻击的可能性就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站的权限,或进一步危害服务器 为什么文件上传存在漏洞 上传文件时,如果服务端代码未对客户端上传的文件进行严格过滤,就容易造成文件上传漏洞 绕过限制 apache解析从右到
lpk.dll是什么
weixin_33739523的博客
11-12 840
lpk.dll是什么?这是一个盗号木马,其感染 Drix的相关文件并加载起来,一旦杀毒软件删除被感染的文件,就会导致相关组件缺失,游戏及浏览器等常用软件运行不起来。此时如果用户自行下载一个版本不对的文件手工修复是不太安全的,最好使用权威安全软件修复此问题。建议下载最新版的360系统急救箱恢复丢失的DLL文件,下载后,打开程序,点击开始急救等出现“引擎初始...
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 5557
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
Windows DLL基本原理
helloworld201456的专栏
06-09 4386
Windows DLL基本原理 Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Microsoft
Windows Hook原理与实现
热门推荐
安全杂货铺
08-06 4万+
Windows Hook原理与实现 教程参考自《逆向工程核心原理》 1.概述 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理...
易语言编写dll劫持补丁
09-17
易语言是一种简单易学的编程语言,可以用来编写Windows下的应用程序。在编写dll劫持补丁时,可以使用易语言来实现。 首先,dll劫持是指通过修改被劫持的进程加载的dll路径或名称,使其加载恶意的dll文件。编写dll劫持补丁实际上是为了修复这个漏洞,使被劫持的进程加载正确的dll文件。 在易语言中,可以使用WinAPI函数来完成这个任务。首先,需要用到的函数有以下几个:LoadLibrary函数,用于加载dll文件;GetModuleFileName函数,用于获取正在运行的进程模块的文件名;GetWindowsDirectory函数,用于获取Windows目录;GetProcAddress函数,用于获取函数地址;SetWindowText函数,用于设置窗口文本。 具体的步骤如下: 1. 使用GetModuleFileName函数获取当前运行的进程的文件名; 2. 使用GetWindowsDirectory函数获取Windows目录; 3. 使用SetWindowText函数设置窗口文本,提示正在修复dll劫持; 4. 使用LoadLibrary函数加载正确的dll文件; 5. 使用GetProcAddress函数获取正确的函数地址; 6. 修改被劫持的函数指针为正确的地址; 7. 修复完成后,使用SetWindowText函数恢复窗口文本。 以上就是使用易语言编写dll劫持补丁的基本思路和步骤。需要注意的是,这只是一种简单的办法,不能解决所有的dll劫持问题,对于复杂的劫持行为可能需要使用其他更底层的编程语言和技术进行修复。同时,在使用这种修复方法时,也要遵循法律法规,确保程序的合法性和正当性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值