科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Dll劫持漏洞检测修复工具 挖掘异常软件

Dll劫持漏洞检测修复工具 挖掘异常软件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

DLL劫持(DLL Hijacking Exploit)攻击出现以后,老外就发了DLL挟持fuzz的工具供爱好者挖掘自己电脑里面存在DLL挟持漏洞的软件。微软帮助和支持中心发布了一个新的CWDIllegalInDllSearch注册表项来控制DLL搜索路径算法。

来源:赛迪网 2010年9月6日

关键字: 漏洞 Dll 安全

  • 评论
  • 分享微博
  • 分享邮件

DLL劫持(DLL Hijacking Exploit)攻击出现以后,老外就发了DLL挟持fuzz的工具供爱好者挖掘自己电脑里面存在DLL挟持漏洞的软件。

1.DLLHijackAuditKit

这个软件会枚举系统中所有文件后缀名,然后根据processmon的日志找出那些可能存在DLL挟持漏洞的软件,同时会生成exp文件,不过一次运行的时间还是比较长的。

2.DllHijackAuditorv

这个软件测试了下感觉还行,不像DLLHijackAuditKit可以自动查找所有可能存在的软件,不过用来针对性查找相应程序的DLL挟持漏洞还是可以的,以下是“美图看看”DLL劫持攻击检测结果,显然这个版本的“美图看看”存在DLL劫持攻击漏洞。

另外,微软帮助和支持中心发布了一个新的CWDIllegalInDllSearch注册表项来控制DLL搜索路径算法。

CWDIllegalInDllSearch 注册表项的工作方式

应用程序在不指定完全限定路径的情况下动态加载DLL时,Windows将尝试在一组明确定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后就会加载该DLL。如果Windows按 DLL搜索顺序没有在任何目录中找到DLL,则会为DLL加载操作返回一个失败结果。

LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是这两个函数的DLL搜索顺序:

从其中加载应用程序的目录

系统目录

16 位系统目录

Windows 目录

当前工作目录 (CWD)

PATH 环境变量中列出的目录

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章