文章预览
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“ 亿人 安全 “ 设为星标 ”, 否则可能就看不到了啦 原文链接:先知社区 https://xz.aliyun.com/t/14558 简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的,那么就需要对exe加载的dll进行了解。 0x01 DLL前置知识 DLL路径搜索目录顺序 • 1. 程序所在目录 • 2. 程序加载目录(SetCurrentDirectory) • 3. 系统目录即 SYSTEM32 目录 • 4.16 位系统目录即 SYSTEM 目录 • 5.Windows 目录 • 6.PATH 环境变量中列出的目录 Know DLLs 注册表项 Know DLLs 注册表项里的 DLL 列表在应用程序运行后就已经加入到了内核空间中,多个进程公用这些模块,必须具有非常高的权限才能修改。 Know DLLs 注册表项的路径为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs 劫持应用中存在的 dll 直接转发 Di
………………………………
