越来越多的木马使用DLL劫持功能进行加载,大家也经常做补丁使用DLL劫持功能进行破解,有没有想过如何进行防护了?本文介绍通过修改文件manifest属性进行定向位置加载和动态加载签名校验来解决劫持问题,给开发者提供一些防护思路,加强软件保护,防止被劫持利用。
介绍
木马
如早期的犇牛木马,使用伪装LPK.DLL、USP10.DLL系统DLL进行劫持加载传播感染,到如今各种流氓软件和APT组织使用DLL劫持正常软件绕过安全软件拦截,如使用伪装chrome.dll劫持Chrome.exe来实现加载,其中比较知名APT组织海莲花(OceanLotus)最为擅长。
破解补丁
Windows平台加密壳发展到如今阶段,脱壳成本提升和自校验的加强,已经很少有直接通过文件Patch进行补丁破解了,基本都开始使用内存修改的方式进行补丁,相对于传统的启动进程再修改内存的方式,DLL劫持修改内存更为方便,DLL劫持补丁已经成为主流的破解补丁存在方式了。为什么可以进行DLL劫持了,本文不再赘述,可以参看微软官方的介绍:
https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order
防护方法
[ol]
比如我们给程序添加以下
编译成功后再进行winmm.dll、lpk.dll和version.dll劫持,就会无效了,这里只添加了部分DLL,可以根据自己程序所需,把对应所有的导入表中的系统DLL都加入即可。对于二次开发的程序没有源代码如何进行修改了?我们可以使用ResEdit等资源工具进行修改,如图所示:
xx.png (61.12 KB, 下载次数: 0)
下载附件
2021-8-24 11:39 上传
结语
未知攻焉知防,充分了解攻击手段才才可以做出更好的防御,感谢@690827027 的指点,学习到新的知识。
参考链接
https://curl.se/mail/lib-2018-02/0075.html
https://itm4n.github.io/windows-dll-hijacking-clarified/
https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order
[/ol]
