文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何使用aDLL自动识别DLL劫持漏洞

2024-12-02 11:46

关注

该工具的主要目标就是帮助广大研究人员搜索可执行程序所使用的DLL列表,并从中识别出潜在的DLL劫持漏洞。

[[442051]]

DLL劫持攻击

DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。

首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的资源共享机制。为了尽可能多得安排资源共享,微软建议多个应用程序共享的任何模块应该放在Windows的系统目录中,如kernel32.dll,这样能够方便找到。但是随着时间的推移,安装程序会用旧文件或者未向后兼容的新文件来替换系统目录下的文件,这样会使一些其他的应用程序无法正确执行,因此,微软改变了策略,建议应用程序将所有文件放到自己的目录中去,而不要去碰系统目录下的任何东西。

为了提供这样的功能,在Window2000开始,微软加了一个特性,强制操作系统的加载程序首先从应用程序目录中加载模块,只有当加载程序无法在应用程序目录中找到文件,才搜索其他目录。利用系统的这个特性,就可以使应用程序强制加载我们指定的DLL做一些特殊的工作。

快速开始

首先,我们需要使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/ideaslocas/aDLL.git 

接下来,我们就可以在项目的Binaries文件夹中找到已编译好的aDLL可执行文件了。我们建议广大用户使用版本架构(32为或64位)对应的版本来分析目标可执行文件。

为了保证该工具可以正常运行,我们必须将“hook32”、“hook64”、“informer*32”和“informer64”放置于“aDLL.exe”的相同目录下。

工具要求

aDLL是在Windows 10操作系统平台上开发和测试的,如果你所使用的操作系统版本比较老,或者没有安装Visual Studio的话,那么工具在运行时可能会抛出例如“VCRUNTIME140.dll not found”之类的错误,此时我们就需要安装Visual C++ Redistributable更新了。【下载地址

项目编译

如需对项目代码进行修改或重新编译,建议使用Visual Studio 2015或更高版本。

工具使用

该工具提供了一个-h选项,可以帮助我们获取aDLL全部可用的参数选项:

  1. .\aDLL -h 

针对aDLL的使用,我们需要提供至少一个运行参数,即需要分析的可执行程序路径:

  1. .\aDLL -e "C:\System32\notepad.exe" 

工具选项

项目地址

aDLL:【GitHub传送门

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯