主要观点总结
文章介绍了DLL劫持挖掘的相关知识,包括DLL的作用、劫持原理、加载顺序以及如何进行DLL劫持挖掘等。
关键观点总结
关键观点1: DLL劫持介绍
DLL在Windows系统中起到动态链接库的作用,程序通过调用DLL来执行某些功能。DLL劫持是通过替换DLL文件或导出函数,实现在原程序运行时调用恶意DLL的效果。
关键观点2: DLL加载顺序
Windows系统加载DLL的顺序为:EXE所在目录、当前目录、系统目录(C:\Windows\System32目录)、Windows目录(C:\Windows)和环境变量PATH所包含的目录。
关键观点3: DLL劫持挖掘方法
可以通过使用process Monitor Filter工具查看运行exe所加载的全部dll文件,使用CFF Explorer工具查看exe文件位数以及导入目录,通过自定义导出函数并使用MessageBox弹框来检测exe是否使用了该函数。
关键观点4: DLL劫持中的死锁问题
在dllmain中使用恶意代码可能存在死锁问题,解决方法是使用导出函数上线,或者采用进程注入、线程劫持等方式在dllmain之外上线。
关键观点5: 其他挖掘DLL劫持的方法
除了手动挖掘,还可以使用工具进行挖掘。此外,宸极实验室是致力于网络安全对抗技术研究的团队,善于利用黑客视角发现和解决网络安全问题。
文章预览
点击蓝字 关注我们 日期:2024/08/15 作者:Corl 介绍:DLL劫持挖掘。 0x00 前言 白加黑的方式( DLL 劫持)可以对抗 360 核晶,白就是此文件在杀软的白名单中,不会被杀软查杀,黑就是我们自己编写的带恶意代码的 dll 文件,那么怎么进行白加黑的挖掘呢? 0x01 DLL劫持原理 首先来理解 DLL 在 Windows 系统中的作用, DLL 全称 Dynamic Link Library ,称为动态链接库,在 Windows 系统中,大多数程序并不是一个单独的可执行文件,而是有一些单独的存放动态链接库在系统中,当需要某些功能时,通过 DLL 执行相应的功能,即 DLL 调用。 那么既然程序执行某些功能时,可能会通过 DLL 调用,从利用角度来看,如果替换了这个 DLL 文件,或则导出了原 DLL 的导出函数并恶意构造,在原程序运行时调用了我们预先构造好的恶意 DLL ,那么就达到了劫持的效果。 0x02 DLL加载顺
………………………………
