扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
DLL劫持(DLL Hijacking Exploit)攻击出现以后,老外就发了DLL挟持fuzz的工具供爱好者挖掘自己电脑里面存在DLL挟持漏洞的软件。
1.DLLHijackAuditKit
这个软件会枚举系统中所有文件后缀名,然后根据processmon的日志找出那些可能存在DLL挟持漏洞的软件,同时会生成exp文件,不过一次运行的时间还是比较长的。
2.DllHijackAuditorv
这个软件测试了下感觉还行,不像DLLHijackAuditKit可以自动查找所有可能存在的软件,不过用来针对性查找相应程序的DLL挟持漏洞还是可以的,以下是“美图看看”DLL劫持攻击检测结果,显然这个版本的“美图看看”存在DLL劫持攻击漏洞。
另外,微软帮助和支持中心发布了一个新的CWDIllegalInDllSearch注册表项来控制DLL搜索路径算法。
CWDIllegalInDllSearch 注册表项的工作方式
应用程序在不指定完全限定路径的情况下动态加载DLL时,Windows将尝试在一组明确定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后就会加载该DLL。如果Windows按 DLL搜索顺序没有在任何目录中找到DLL,则会为DLL加载操作返回一个失败结果。
LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是这两个函数的DLL搜索顺序:
从其中加载应用程序的目录
系统目录
16 位系统目录
Windows 目录
当前工作目录 (CWD)
PATH 环境变量中列出的目录
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者