Windows 下的 7 种 DLL 劫持技术

最新推荐文章于 2024-05-03 14:32:41 发布
最新推荐文章于 2024-05-03 14:32:41 发布
阅读量1.5k 收藏 5
点赞数
文章标签: 操作系统 数据库 shell
原文链接:https://yq.aliyun.com/articles/218172
版权
本文讲的是 Windows 下的 7 种 DLL 劫持技术在本文中,我将列出半打可以在Windows运行用户模式的进程中使用DLL注入技术。也许可能会有更多类似的技术,但我正在和你分享的是我所拥有的第一手的技术。

AppInit_DLLs

人们以前往往依赖于AppInit_DLLs注册表项。它是操作系统加载程序查询此值并加载创建进程时指定的DLL。我在很长一段时间没有使用这种技术(最后一次我使用它在Windows XP上),而且我听说现在受到恶意软件的广泛使用,所以它也受到限制或被停止使用了。

SetWindowsHookEx API

使用API函数SetWindowsHookEx()可以把一个应用程序定义的钩子子程安装到钩子链表中。 SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的 Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个 Hook子程需要调用CallNextHookEx函数。它支持各种各样的钩链(CBT,Journal,Window消息,键盘,鼠标等)。

当使用SetWindowsHookEx API时,你就是在在指示操作系统将自定义HookDLL注入到其相关的其他进程中。当其他进程从USER32.dll导入/使用功能时,Windows Hook就会工作。 

The Image File Execution Options (IFEO) key

该 IFEO注册表项是非常方便的。它允许你指定OS加载程序在创建给定进程、启动给定的AppVerifier插件、更改进程堆选项等情况时调用调试程序。

现在让我们回过头来说,我已经在IFEO键上做了一个小实验,创建了一个AppVerifier插件,注入到我选择的进程中。

Remote threads

这种技术依赖于将远程线程创建到想要注入的所需进程中。远程线程的代码将会非常简单地在该目标进程的上下文中调用LoadLibrary。请注意,许多防病毒软件都会将创建远程线程标记为恶意活动。

Implicitly tracking all processes

此方法往往会依赖于进程创建API的Hook,例如:kernel32.CreateProcess [Internal]或较低的API。通过跟踪其他进程的创建,你就会有机会将DLL注入到新进程中。

该技术背后的基本思路如下:

1、枚举所有现有进程

2、将你的DLLHook注入所有正在运行的进程。这很重要,并且也会使你的注射器可以在执行注射器之前执行的进程达到最高速度。

3、Hook k32!CreateProcessInternalW在每个进程中。如果你能hook到更好的那些就最好了。例如在ntdll!NtCreateProcess *

4、你注入的DLL必须明确的Hook进程create API,并在调用时执行以下操作:

1.暂停创建子进程
2.注入你的Hook,这本质上是“跟踪”
3.恢复流程。现在这个子进程现在也将Hook任何新的进程

这种技术会给你一种你正在跟踪所有流程的错觉。不过它是有效的,我已经看到它被用于很多安全产品中了。通过hook Explorer.exe(shell),你可以跟踪从“开始菜单”启动的所有进程。

当然,这种技术是有限的,它是可以被躲避的,不过当你在只有用户模式访问时它很有用。

AppCompat shimming layer

其实,很长时间里我都不知道这种注入方式,直到我在微软工作时接触到了EMET项目。

该程序的兼容性机制其实并不会真的记录了第三方开发者,但当我在EMET项目中使用它时这一情况翻转了。

其实质是有一个名为AppPatch.dll的系统DLL ,它读取一个匀场数据库(又称SDB)。该数据库是自定义格式,它可以描述各种应用程序兼容性调整/修补功能:

1、内存搜索/替换 – >补丁代码在一个给定的模块中,当该模块加载

2、加载/注入一个给定进程的DLL。可以使用通配符等。

3、假API返回等。

EMET项目中我是使用方法第二种来注入DLL到所需的进程中。每个EMET重新配置时,基本思想就是在Fly中生成SDB。EMET嵌入了懂得如何生成SDB的代码,然后在系统中注册该SDB。

请注意,AppPatch机制被烘焙到操作系统的进程加载程序(在ntdll.dll内)。因此,它不是真正的“注入”,它更像是加载进程的一部分。

Kernel drivers

最后的这一种但并非是不重要的,只是它不是一种纯粹的用户模式下的方法,使用内核驱动程序是将代码注入所有正在运行的进程的一种可靠方法。据我所知,现在有名气的A / V软件都使用了它。他们会在注册图像时创建通知,然后将在用户模式下需要执行并注入的一些APC进行排队。

结论

总而言之,DLL注入是一个非常引人入胜的主题,它具有各种注入技术可供选择,对系统开发人员来说真的非常有帮助。而根据你的不同选择,注入会有不同的弹性、安全性(不被杀毒软件所捕获)以及持续性。




原文发布时间为:2017年5月24日
本文作者:Change
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_33766805
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dll劫持
qq_46804551的博客
05-04 5967
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
Windows内核劫持不是一个选项MemoryRanger再次出手相救_Windows Kernel Hijacking Is
01-19
Windows内核劫持不是一个选项MemoryRanger再次出手相救_Windows Kernel Hijacking Is Not an Option MemoryRanger Comes to the Rescue Again.pdf
DLL劫持技术内存补丁技术
blackoto的专栏
12-22 5331
《加密与解密(第三版)》这补丁方法,适合制作被ASProtect,Armadillo,Themida等各类强壳保护软件的补丁。当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会
2024年DLL 劫持原理(运维),2024年最新Linux运维开发知识点
最新发布
2301_79054215的博客
05-03 846
那么最终Windows2003以上以及win7以上操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径,之后,应用程序就将DLL载入了自己的内存空间,执行相应的函数功能。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
实现DLL内存补丁,DLL劫持技术
laobobo999的专栏
05-17 1500
 在windows下当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表是根据DLL名来进行查找,首先是查找当前目录下有没这文件,没有话在去查找系统目录C:\\Windows\\system32有没这文件,所以我们可以完全趁这个机会去劫持DLL,把他劫持下来后就可以
DLL劫持技术解析(DLL Hijack)
輚至消亡
07-12 3725
0x01 简介 DLL劫持技术利用的是WindowsDLL访问时查找DLL位置的一个漏洞,WindowsDLL的默认查找顺序(XP SP2及之后)如下: 1. EXE所在文件夹 2. Windows系统目录 3. Windows 16位系统目录 4. Windows目录 5. 当前文件夹 6. PATH环境变量中指出的目录 当我们在EXE程序中导入了某个DLL文件时,其搜索并使...
dll劫持工具.zip
10-05
DLL劫持DLL Hijacking)是一Windows操作系统中利用动态链接库加载机制的安全漏洞进行攻击的技术DLL文件是Windows系统和应用程序中广泛使用的组件,它们包含可重用的代码和数据,供多个程序共享。当一个程序...
DLL劫持源码生成器.7z
02-22
DLL劫持DLL Hijacking)是一常见的恶意软件技术,它利用了Windows操作系统中动态链接库加载机制的漏洞。本文将详细解析DLL劫持的概念、原理,以及如何利用易语言实现DLL劫持源码生成。 首先,DLL(Dynamic Link...
version.dll 劫持源代码
01-08
总之,`version.dll` 劫持是一复杂的系统攻击方式,涉及到动态链接库的替换、代码注入等技术。理解其工作原理和源码实现,对于提升安全防护意识和进行逆向工程研究具有重要意义。在实际开发中,我们应该采取相应的...
易语言DLL劫持生成 最新劫持技术-易语言
06-11
 DLL劫持技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。 由于输入表中只包含DLL名而...
x64 version.dll 劫持源代码
04-25
7. **安全性和合法性**:dll劫持可能涉及违反软件使用条款,甚至触犯法律。因此,在实施时应确保操作的合法性,并尽可能避免对用户系统造成负面影响。 通过上述步骤,我们可以实现对x64环境下`version.dll`的劫持。...
DLL劫持C++源代码创建器
03-21
本工具自动创建用于进行DLL劫持的C++源代码。选择你正在运行的应用程序,选择应用程序加载的DLL,本工具为你创建一个用户劫持DLL的源代码。代码中有详细的指导,按照指导去配置你的VS,马上编译一个用来劫持DLL。马上下载下来试试吧。如何创建这个工具,请查看软件的帮助。
DLL劫持代码生成.zip
09-24
DLL劫持代码生成.zip 用于生产劫持dll的xxx.cpp代码
免杀对抗-DLL劫持免杀
xiaoheizi的博客
10-04 1827
项目名称右键——打开项目位置——将反编译的dll源码复制进去。根据文件中的教程,选中文件——右键属性——如下图修改——点击应用。使用python执行如下代码,调用dll文件。lib=CDLL('生成的dll文件路径')选中dll源码拖入项目,工具就会自动加载源码。根据教程——继续打开asm文件的属性进行配置。打开asm文件,将所有的jmp语句删除。链接器——调试——生成调试信息——否。——代码生成——运行库——多线程。将生成的dll文件改名位krpt。预编译头——不使用预编译头。
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
DLL劫持案例——反弹shell
渗透测试
09-02 645
目标,对一个录屏软件进行dll劫持
【C/C++】劫持技术
linchaolong的专栏
02-28 7933
劫持 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。 函数是放在内存中的代码区,所以劫持与代码区密切相关。 实现劫持需要使用detours。 detours detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。 detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系
基于AheadLib工具进行DLL劫持
LYSM
06-24 2877
背景 或许你听过DLL劫持技术,获取你还没有尝试过DLL劫持技术DLL劫持技术的原理是: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值