Dll劫持漏洞检测修复工具 挖掘异常软件

DLL劫持(DLL Hijacking Exploit)攻击出现以后，老外就发了DLL挟持fuzz的工具供爱好者挖掘自己电脑里面存在DLL挟持漏洞的软件。

1.DLLHijackAuditKit

这个软件会枚举系统中所有文件后缀名，然后根据processmon的日志找出那些可能存在DLL挟持漏洞的软件，同时会生成exp文件，不过一次运行的时间还是比较长的。

2.DllHijackAuditorv

这个软件测试了下感觉还行，不像DLLHijackAuditKit可以自动查找所有可能存在的软件，不过用来针对性查找相应程序的DLL挟持漏洞还是可以的，以下是“美图看看”DLL劫持攻击检测结果，显然这个版本的“美图看看”存在DLL劫持攻击漏洞。

另外，微软帮助和支持中心发布了一个新的CWDIllegalInDllSearch注册表项来控制DLL搜索路径算法。

CWDIllegalInDllSearch 注册表项的工作方式

应用程序在不指定完全限定路径的情况下动态加载DLL时，Windows将尝试在一组明确定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后就会加载该DLL。如果Windows按 DLL搜索顺序没有在任何目录中找到DLL，则会为DLL加载操作返回一个失败结果。

LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是这两个函数的DLL搜索顺序：

从其中加载应用程序的目录

系统目录

16 位系统目录

Windows 目录

当前工作目录 (CWD)

PATH 环境变量中列出的目录