DLLHijack漏洞原理

Posted nbeveryday

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DLLHijack漏洞原理相关的知识,希望对你有一定的参考价值。

原理


 

当一个可执行文件运行时,windows加载器讲课执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。

由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。而这里DLL文件搜索遵循以下顺序。

  1. 可执行程序加载的目录
  2.  系统目录
  3.  16位系统目录
  4.  Windows目录
  5.  文档运行目录
  6.  PATH环境变量中列出的目录

攻击者先伪造一个与系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会优先调用系统DLL时会先调用当前目录下伪造DLL,完成相关功能(恶意代码或者程序补丁)。再跳到系统DLL同名函数里执行。这个过程用形象的词描述就是系统DLL被劫持(Hijack)了。


攻击文件构造

  • 编程环境:Delphi 2007
  • 工具软件:ViewDLL,进程查看器。

事例:

  微软存在DLl劫持导致远程攻击;wireshark;windows live email;Microsoft movieMaker;Firefox;uTorrent;PPT2010;等等软件都被曝光过存在DLL劫持漏洞

危害:

  安装上述软件的用户打开图片,视频,BT种子,网页文件都有可能感染病毒。

  攻击者利用DLL劫持漏洞构造一个特殊的DLL文件,将这个DLL文件打包到一些jpg、ppt、MP3、mpg、html文件中分发,用户解压双击打开文档,病毒即被立即触发。

 


 

新型DLL劫持漏洞形成原理:

  应用程序为了扩展或者兼容等目的需要加载相应的DLL文件,但是因为某些原因导致这个DLL文件默认不存在当前系统中,此时就会尝试加载文档所在目录下的DLL文件,从而达到破坏的作用。

 


 

应对:

  DLL劫持利用了系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以首先告诉系统DLL的未知,改变加载系统DLL的顺序不是当前目录,这个想法可以通过修改注册表实现。新版的操作系统注册表键值已经相当齐全,因此建议使用新版操作系统。

  

  而对于新型的DLL劫持,因为并没有十分有效的应对方式,所以用户要养成运行文件前检查目录的习惯,开启隐藏文件和显示系统文件选项,防止通过应用程序加载恶意DLL。

2018-12-28        22:38:25                                                                                              《黑客防线2012合订本》笔记 撒地方



以上是关于DLLHijack漏洞原理的主要内容,如果未能解决你的问题,请参考以下文章

溢出漏洞利用原理及其检测原理——就是代码注入shellcode,检测可以利用静态签名

安全牛学习笔记CSRF跨站请求伪造攻击漏洞的原理及解决办法

文件上传漏洞原理是啥?

SSRF漏洞原理攻击与防御(超详细总结)

中间件漏洞汇总

20155306 白皎 0day漏洞——漏洞利用原理之GS