ADPT:自动化利用 DLL 劫持的机会
ADPT DLL proxying for lazy people 
项目地址: https://gitcode.com/gh_mirrors/ad/ADPT
项目介绍
ADPT(Another Dll Proxying Tool)是一个新颖的工具,旨在帮助安全研究人员和开发人员自动化利用 DLL 劫持或侧加载的机会。它通过消除复杂的手动步骤,如 API 监控、反向工程和类型转换,使得劫持过程变得简单快捷。
项目技术分析
ADPT 的核心技术是基于 DLL 劫持原理,当应用程序尝试加载 DLL 时,如果存在同名且优先级更高的 DLL,则系统会加载该 DLL。ADPT 利用了这一机制,通过生成特定的 DLL,自动化劫持过程。
项目采用 Rust 语言开发,主要包含三个不同的项目:
- Generator:是核心项目,负责生成用于自动化劫持的 DLL。
- ExportTracer:用于创建跟踪原始 DLL 调用函数的 DLL。
- ProxyDll:用于生成最终的 DLL,允许开发者在其中添加自己的有效负载代码。
ADPT 的设计确保了生成的 DLL 与原 DLL 具有相同的函数序号,支持在调用线程中运行有效负载,也可以在单独的线程中运行。
项目技术应用场景
ADPT 的应用场景广泛,尤其在以下情况下特别有用:
- 自动化安全测试:在安全测试过程中,研究人员可以使用 ADPT 自动化识别和利用 DLL 劫持漏洞,提高测试效率。
- 漏洞研究:安全研究人员可以利用 ADPT 研究程序在加载 DLL 时的行为,发现潜在的安全问题。
- 软件分析:开发人员可以使用 ADPT 分析第三方软件在运行时加载的 DLL,以便更好地理解其工作原理。
项目特点
ADPT 具有以下显著特点:
- 自动化劫持:ADPT 可以自动生成所需的 DLL,消除了手动寻找劫持机会的需求。
- 无需额外工具:ADPT 不需要像 API Monitor 或 GHidra 这样的额外工具来识别函数调用和获取函数签名。
- 有效负载多样性:用户可以在劫持的 DLL 中添加自己的有效负载代码,有效负载可以是任何能够在 DLL 中运行的代码。
- 兼容性:ADPT 支持在 64 位 DLL 上运行,兼容当前大部分操作系统。
以下是 ADPT 的具体使用案例:
劫持 ProcessHacker 的 DLL 加载
假设我们想要劫持 ProcessHacker 加载的 TextShaping.dll。首先,使用 ADPT 的 Generator 项目生成用于跟踪的 DLL:
generator.exe -m trace -p C:\Windows\System32\TextShaping.dll
这个命令会生成跟踪 DLL 所需的代码和文件。编译后,将生成的 DLL 重命名为 TextShaping.dll 并放置在 ProcessHacker 的目录中。启动 ProcessHacker,跟踪 DLL 会将调用的函数记录到日志文件中。
然后,根据日志文件中记录的函数调用顺序,选择一个函数来注入我们的有效负载。例如,如果我们选择 ShapingCreateFontCacheData 函数,可以使用以下命令:
generator.exe -m proxy -p C:\Windows\System32\TextShaping.dll -e ShapingCreateFontCacheData
接着,在生成的 ProxyDll 项目的 src/lib.rs 文件中添加有效负载代码,编译生成最终的 DLL,并替换 ProcessHacker 目录中的原始 DLL。重新启动 ProcessHacker,可以看到有效负载代码已成功运行。
通过以上步骤,ADPT 展示了其强大的自动化 DLL 劫持能力,为安全研究和开发提供了极大的便利。
ADPT DLL proxying for lazy people 项目地址: https://gitcode.com/gh_mirrors/ad/ADPT
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
