防范DLL劫持

已于 2023-01-30 15:55:42 修改
阅读量1.5k 收藏 4
点赞数 2
分类专栏: 软件逆向 文章标签: 安全 DLL hook
于 2022-07-11 17:57:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37771728/article/details/125726862
版权

一、禁用软件DLL劫持(Disable DLL Hijacking)

1.修改文件manifest属性,进行定向加载DLL,解决通用系统DLL劫持问题

可以根据自己程序所需,把对应所有的导入表中的系统DLL都加入

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
<file name="winmm.dll" loadFrom="%SystemRoot%\system32\winmm.dll" />
<file name="lpk.dll" loadFrom="%SystemRoot%\system32\lpk.dll" />
<file name="version.dll" loadFrom="%SystemRoot%\system32\version.dll" />
</assembly>

2.使用ResEdit等资源工具进行修改

在这里插入图片描述

3.使用动态加载方式,不要使用静态导入方式加载,通过动态加载对文件进行校验,如数字签名校验通过后再进行加载,来保证程序的安全性

二、在程序运行后,遍历当前路径下的dll,确认MD5和数字签名安全后,再进行后续的加载

° LuK
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅谈DLL劫持
chenyanxu的专栏
01-17 1741
最近在搞内网,需要实现免杀后门,大佬推荐了dll劫持DLL劫持后,能干很多事情,比如杀软对某些厂商的软件是实行白名单的,你干些敏感操作都是不拦截,不提示的。还有留后门,提权等等。本文主要介绍如何检测dll劫持,以及实例演示。 1|0DLL劫持 1|1dll文件是什么? DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。...
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
winmm.dll文件被Windows安全中心自动删除解决办法
最新发布
Innocence_0的博客
06-12 625
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
如何防止DLL劫持
weixin_30646505的博客
10-18 336
  DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。   这个想法可以通过修改注册表实现。   在注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\...
DLL劫持防御策略
把梦想放飞在蓝色的天空里...
07-24 4572
 DLL的搜索路径顺序:   ·  The directory from which the application loaded. ·  The system directory. ·  The 16-bit system directory. ·  The Windows directory. ·  The current directory. ·  The direc
Dll劫持
weixin_41204880的博客
07-27 255
** 1、 dll文件是什么? ** DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windo
E语言系统winmm.dll劫持代码
11-02
一款E语言系统winmm.dll劫持代码。请勿干坏事 。
dll劫持工具.zip
10-05
DLL劫持DLL ...总之,DLL劫持是一种常见的攻击手段,理解其原理和防范措施对保护系统安全至关重要。通过使用像"anhkgg-tools-master"这样的工具,我们可以更有效地检测和防止DLL劫持攻击,提升系统的安全性。
开启WIN7的DLL劫持支持+各种系统DLL劫持模板源码-易语言
06-12
本文将深入探讨如何在Win7系统中开启DLL劫持支持,并提供相关的易语言源码模板,以帮助开发者更好地理解和防范此类攻击。 首先,我们要了解DLL劫持的基本原理。当一个程序需要使用特定的DLL时,Windows会按照一定的...
各系统劫持DLL源码
03-25
下面将详细讲解DLL劫持的基本原理、实施步骤以及防范措施。 一、DLL劫持原理 Windows系统在运行应用程序时,会根据程序的需求加载相应的DLL文件。当程序尝试加载某个DLL时,系统会按照一定的搜索顺序查找DLL。这个...
DLL劫持源码生成器.7z
02-22
DLL劫持DLL Hijacking)是一种常见的恶意软件技术,它利用了Windows操作系统中动态链接库加载机制的漏洞。...了解并理解DLL劫持的原理和实施方法,对于提高安全意识和防范潜在威胁具有重要意义。
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64位 APIHook
DLL劫持-Hijack-原理及其实现细节
08-21
DLL劫持-Hijack-原理及其实现细节
DLL劫持漏洞
12-02
总的来说,DLL劫持是一种常见的攻击手段,通过了解其工作原理和防范措施,我们可以更好地保护系统不受此类威胁的影响。对于开发人员来说,理解和修复DLL劫持漏洞至关重要,而对于普通用户,提高安全意识,不轻易运行...
36.浅谈DLL劫持
weixin_30265171的博客
06-16 852
最近在搞内网,需要实现免杀后门,大佬推荐了dll劫持DLL劫持后,能干很多事情,比如杀软对某些厂商的软件是实行白名单的,你干些敏感操作都是不拦截,不提示的。还有留后门,提权等等。本文主要介绍如何检测dll劫持,以及实例演示。 DLL劫持 dll文件是什么? DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。在Windows中,...
.NET DLL 保护措施详解(非混淆加密加壳)
qwsf01115的专栏
08-10 1万+
为什么要保护DLL,我就不多说了,各人有各人的理由。总的来说,就是不想核心逻辑泄露及授权验证被破解两大方面的因素。 首先,我来介绍一下发布出去的DLL所面临的风险: 一、直接引用 二、反编译 三、反射 如果DLL一点措施都不做的话,上面任意一种都可以达到破解目的的。 然后,通常网上能搜到如下的保护方式,但真心的来说,用处不大,当然对小白破解者增加了难度。 一、混淆类的工具
DLL劫持漏洞与思考
jklbnm12的博客
09-09 517
DLL劫持顾名思义,是去执行一个外部库(dll)的代码,而不是执行一个可移植的可执行 PE文件。通过DLL的搜索顺序,可以将代码植入二进制程序让易受攻击的应用程序加载并执行。这不是一个新提出的攻击方法,但有什么更好的方法可以通过NSA最新发布的工具Ghidra找到dll劫持代码吗? 我在这篇文章中将会相当深入地介绍DLL劫持,但首先有一些基本的概念需要了解一下。 使用Procmon,打开目标PE,识别试图从可写路径加载的DLLs文件名。 使用Ghidra识别所述DLL的入口点。 创建入口点是你的有效载荷的
绕过AMSI详细指南:如何利用DLL hijack轻松绕过AMSI
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-04 1761
​在RingZer0开设的Red Teaming课程中,研究了DoubleAgent攻击手法。攻击者可以利用DoubeleAgent将任意代码注入到任何一个他想注入的进程中。并且由于注入发生在进程启动的一开始,因此攻击可以完全控制进程,而进程无法进行自我保护。我所关注的是反恶意软件扫描接口(AMSI)旁路绕过,这篇文章是对Cn33liz记录的原始DLL劫持方法的拓展,我的目标是找到一种逃避AMSI检测的新方法,我们只需要一个低权限用户可以进行写入的目录,即可绕过AMSI。 什么是AMSI? AMSI为终
dll劫持
Coder的博客
11-03 948
基础知识 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件。 DLL路径搜索目录顺序 程序所在目录 程序加载目录(SetCurrentDirectory) 系统目录即 SYSTEM32 目录 16位系统目录即 SYSTEM 目录 Windows目录 PATH环境变量中列出的目录 Know DLLs注册表项 Kn
易语言编写dll劫持补丁
09-17
易语言是一种简单易学的编程语言,可以用来编写Windows下的应用程序。在编写dll劫持补丁时,可以使用易语言来实现。 首先,dll劫持是指通过修改被劫持的进程加载的dll路径或名称,使其加载恶意的dll文件。编写dll劫持补丁实际上是为了修复这个漏洞,使被劫持的进程加载正确的dll文件。 在易语言中,可以使用WinAPI函数来完成这个任务。首先,需要用到的函数有以下几个:LoadLibrary函数,用于加载dll文件;GetModuleFileName函数,用于获取正在运行的进程模块的文件名;GetWindowsDirectory函数,用于获取Windows目录;GetProcAddress函数,用于获取函数地址;SetWindowText函数,用于设置窗口文本。 具体的步骤如下: 1. 使用GetModuleFileName函数获取当前运行的进程的文件名; 2. 使用GetWindowsDirectory函数获取Windows目录; 3. 使用SetWindowText函数设置窗口文本,提示正在修复dll劫持; 4. 使用LoadLibrary函数加载正确的dll文件; 5. 使用GetProcAddress函数获取正确的函数地址; 6. 修改被劫持的函数指针为正确的地址; 7. 修复完成后,使用SetWindowText函数恢复窗口文本。 以上就是使用易语言编写dll劫持补丁的基本思路和步骤。需要注意的是,这只是一种简单的办法,不能解决所有的dll劫持问题,对于复杂的劫持行为可能需要使用其他更底层的编程语言和技术进行修复。同时,在使用这种修复方法时,也要遵循法律法规,确保程序的合法性和正当性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值