立即登录 免费注册! 会员中心 网站导航 切换模式
搜索
签证 福利 买房律师

华人澳洲中文论坛

华人澳洲中文论坛论坛 新闻热点 世界新闻 DLL挟持原理、剖析、运用

热图推荐

    DLL挟持原理、剖析、运用

    [复制链接]

    2022-10-6 09:08:15 28 0

    静态库根底
    得多顺序,根本都不是仅仅顺序自身就能间接运转,常常会依赖到其余的静态库(Dynamic Link Library)。好比最根本的ntdll.dll、kernel32.dll。
    顺序对静态库的依赖分为两种:
    动态依赖个别顺序在编译的时分会依赖一个lib,编译后在顺序的导入表就会生成相应的依赖信息静态加载指经过LoadLibrary、LdrLoadDll的形式进行手动加载静态库的形式在一个DLL的加载进程,默许会经过下列的目录进行查找:
    顺序所在目录顺序设置的加载目录(SetCurrentDirectory)零碎目录System32目录Windows目录PATH环境变量的目录更多的能够参考LoadLibrary的API阐明。
    DLL挟持的原理
    为何会形成DLL挟持,恰是由于DLL的加载进程会搜寻不同的门路致使。好比搜寻的门路挨次A、B、C,而需求的DLL在C地位,假如有歹意的软件把相反名字的DLL放在了A目录,就会致使优先加载A目录的DLL,从而致使DLL挟持的产生。简直一切的顺序都会存在DLL挟持的危险。好比陈旧的LPK病毒就是利用了这个原理。
    KnownDLLs
    零碎为理解决这个问题,同时放慢零碎静态库的加载效力,会建设一份信赖列表KnownDLLs,在这份列表的DLL,会间接从曾经加载的镜像外面映照一份,不需求从新通过查找、加载的进程。
    KnownDLLs注册表项的门路为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs。
    (针对KnownDlls的攻打本文不引见,有兴致的能够自行理解)
    然而依然有得多其余的DLL没有在这个列内外面,从而仍是会存在挟持的危险。
    DLL挟持可能带来的危险
    顺序的残缺性会被破坏顺序的逻辑会被窜改顺序信赖瓜葛被盗用好比利用白 + 黑的病毒、绕过某些平安软件的信赖逻辑、强迫完结带自维护的软件并且DLL挟持是没法简略经过数字签名来失掉解决的。
    DLL挟持剖析
    使用iMonitor(冰镜)的最新版本,能够间接剖析出哪些顺序存在DLL挟持(包罗动态依赖、静态加载)的危险。



    DLL挟持运用
    假如曾经知道一个顺序存在DLL挟持,个别是怎么运用的呢?这个详细得挟持的目的是甚么,常见的有上面的几种形式。
    拷贝DLL到顺序目录的形式
    好比,根本的顺序都会依赖version.dll(其余的DLL均可以),而version.dll的零碎的DLL,然而加载搜寻的进程,优先级最高是顺序确当前目录,那末就能本人制造一个假的version.dll(为了功用能够,需求同时把调用映照回真正的version.dll,假如不会操作,后续能够提供对应的工具),而后放到顺序的目录上面,这样顺序启动就会自动加载这个假的DLL。
    在这个DLL外面能够做一些Hook操作,这样就能窜改顺序的逻辑,好比修正日期绕过试用期达到破解的目的。
    以前还有一些奇葩的平安厂商,提交了针对某会议、某聊天工具的所谓破绽,居然是利用DLL挟持来完成。DLL挟持是简直无奈防止的,这样说的话一切软件都会存在破绽了。这类形式的DLL挟持,其实对比容易添加一些维护。好比在顺序的目录添加自维护(假如需求自维护功用,能够接入iMonitorSDK疾速完成),避免其余人拷贝歹意DLL进来,同时能够添加一个对以后目录DLL的扫描,删除不是本人的其余DLL。
    白 + 黑的形式
    拷贝一个存在DLL挟持的存在信赖签名的顺序,而后制造一个能够被他加载的DLL放到一同,这样启动这个顺序的时分,就会自动加载这个DLL了。由于这个顺序存在信赖签名,这样就能绕过一些平安软件的检测,从而进步权限、或者履行歹意逻辑。
    好比:某出名平安软件的自维护管制,只允许本人的固定一个过程来操作,驱动会校验通讯的过程名,过程的签名是不是无效,这样只有把这个信赖的过程拷贝出来,而后跟封闭自维护的歹意DLL放一同,就能轻松封闭自维护。
    拷贝DLL到PATH目录的形式
    下面的形式都是被动发动挟持注入DLL的,达到利用前提的条件是具备顺序目录的文件拷贝权限、或者履行的时分曾经不是残缺的顺序了。
    此外一种挟持形式是顺序依赖的DLL在顺序的目录基本没有,并且不是零碎DLL。这类在搜寻DLL的进程,就会找到PATH目录,然而由于得多软件可能会修正PATH目录,致使外面的条目十分多,这样就会从得多地位尝试去加载DLL。假如存在一个低权限的PATH目录,那末拷贝一个DLL过来,会到致使顺序启动的时分自动加载这个DLL,歹意DLL就有可能达到提权的目的,从而做出更多歹意行动。
    倡议在软件公布前,都剖析顺序中是不是存在DLL丧失的状况,只有存在DLL丧失,就会潜伏一个很大的挟持危险。红蓝反抗中,得多是经过这样的形式来达到提权的目的的。假如由于某一款软件的破绽诱发零碎被入侵,这款软件可能会被丢弃的,特别是平等保要求对比高的企业。
    回复

    举报

    返回列表 发布主题

    发表回复

    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 立即注册

    返回列表 本版积分规则

    :
    注册会员
    :
    论坛短信
    :
    未填写
    :
    未填写
    :
    未填写

    主题26

    帖子38

    积分164

    图文推荐

    联系我们
    关于我们
    帮助中心
    加入我们
    免责申明

    Archiver|华人澳洲中文论坛

  • 首页
  • 导读
  • 社区
  • 我的