DLL搜索的目录顺序(DLL劫持)

最新推荐文章于 2024-11-16 00:17:27 发布
原创 最新推荐文章于 2024-11-16 00:17:27 发布
· 1.4k 阅读 · 3 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。)

windows xp sp2系统以上会默认开启SafeDllSearchMode,安全dll搜索模式下DLL文件的搜索顺序如下所示:

(1)可执行程序加载的目录(可理解为程序安装目录比如 C:\Program Files\uTorrent)

(2)系统目录(即 %windir%\system32 )

(3)16位系统目录(即 %windir%\system)

(4)Windows目录(即 %windir%)

(5)运行某文件的所在目录,比如C:\Documents and Settings\Administrator\Desktop\test)

(6)PATH环境变量中列出的目录

写一个dll劫持的思路:

1、构造一个与系统目录下XXX.DLL一样的导出表;
2、加载系统目录下的XXX.DLL;
3、将导出函数转发到系统目录下的XXX.DLL上;
4、在初始化函数中加入我们要执行的代码。

5、将我们自己写的XXX.DLL放在可执行文件的目录,让它有机会加载。

Dll劫持
SHELLCODE_8BIT的博客
12-01 741
dll劫持_. iDea.的博客-优快云博客_dll劫持
dll劫持
qq_46804551的博客
05-04 6535
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
文件上传
weixin_43152809的博客
12-02 330
什么是文件上传漏洞 在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率。比如企业的OA系统,允许用户上传图片、视频、头像和许多其他相关类型的文件。然而向用户提供的功能越多,web应用收到攻击的可能性就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站的权限,或进一步危害服务器 为什么文件上传存在漏洞 上传文件时,如果服务端代码未对客户端上传的文件进行严格过滤,就容易造成文件上传漏洞 绕过限制 apache解析从右到
DLL劫持
最新发布
m0_68259687的博客
11-16 1347
打开我们的Process Monitor,来监测一下某些程序启动的事件,这里我们要注意一个细节,当我们想要寻找存在Dll劫持的程序的时候,要把exe托出它原来的环境来执行,原因是上面所提到的dll加载顺序,我们需要保证找到的dll,一定是exe所在目录加载的。随着版本的更新,代码的更迭,应用程序自带的Dll数不胜数,几乎随便打开一个应用程序的主目录,都能看见一大把Dll,它们中的很多都满足被劫持的条件。这样进行劫持,还是有可能会让我们的程序没有办法正常运行,因为我们链上了一个原本不存在的dll,这样。
DLLjiechi.zip_delphi 网络_dll_dll劫持_挟持源码
09-22
DLL劫持,又称为DLL挟持,是一种常见的黑客攻击手段,通过篡改程序对DLL的加载顺序或路径,使得恶意的DLL文件得以执行,从而达到控制或监视系统的目的。本篇文章将深入探讨DLL劫持的概念、原理,并结合Delphi编程...
开启WIN7的DLL劫持支持+各种系统DLL劫持模板源码-易语言
06-12
DLL劫持就是通过篡改这个搜索顺序,让程序优先加载攻击者放置的假冒DLL,而不是系统中的正确版本。 在Win7系统中,要开启DLL劫持支持,需要对注册表进行操作,特别是涉及注册表的多字符串值(REG_MULTI_SZ)。REG_...
magnifier0day:Windows 10特权升级(magnifier.exe)通过Dll搜索顺序劫持
04-14
Windows 10特权升级(magnify.exe)通过Dll搜索顺序劫持 可以利用每个安装了Intel Driver的Windows。 一些ppl会说这不是默认的系统路径%path%,因为大多数用户在SYSTEM%PATH%中都有用户可写路径,因此我们可以...
dll劫持工具.zip
10-05
DLL劫持DLL Hijacking)是一种在Windows操作系统中利用动态链接库加载机制的安全漏洞进行攻击的技术。DLL文件是Windows系统和应用程序中广泛使用的组件,它们包含可重用的代码和数据,供多个程序共享。当一个程序...
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
DLL劫持示例程序:EXE+DLL
07-03
1. 这是本人编写的DLL劫持演示程序,整个解决方案中包含三个工程:EXE主调程序、DLL被调程序、DLL劫持程序。 2. 本解决方案是基于VS2005开发的。
DLL 劫持原理(运维),网易架构师深入讲解Linux运维开发
2301_77033340的博客
04-17 749
Windows 应用程序中,实行了模块化设计,也就是说并不是每个应用程序都编写完所有的功能代码,而是在运行过程中调用相应功能的 DLL,不需运行的功能就不调用,所以大大加快了程序的加载速度和效率,其他应用程序也可以调用相关的 DLL,这样也有利于促进代码重用以及内存使用效率,减少了资源占用,而且程序更新时也只要更新相关的 DLL 就可以了。伪造的 dll 制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的 dll 的同名函数,进入劫持 DLL 的代码,处理完毕后,再调用原DLL 此函数。
转帖:DLL劫持技术详解(lpk.dll)
weixin_30617561的博客
04-04 363
说起DLL劫持技术,相信大家都不会陌生,因为这种技术的应用比较广泛,比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱,主要是因为该技术可以有效的躲过大部分杀软,并且实现起来技术难度不大。DLL劫持技术也不是什么新技术,记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说,DLL劫持技术就显得很神秘了,本系列教程将...
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
Windows系统DLL劫持原理与预防技术分析
标题和描述中提到的关键知识点主要涉及了DLL搜索路径和DLL劫持的相关内容,下面将对这两个知识点进行详细解释。 ### DLL搜索路径 动态链接库(Dynamic Link Library,简称DLL)是Windows系统中实现代码和资源重用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值