当前位置: 草草青视频-草莓大秀直播app手机官网-神马影院达达兔 > 神马影院达达兔 > 如何行使aDLL自动识别DLL劫持漏洞

如何行使aDLL自动识别DLL劫持漏洞

51CTO社区编辑添盟指南,迎接关注!

关于aDLL

aDLL是一款功能富强的代码分析工具,能够协助普及钻研人员以自动化的方式识别并发现DLL劫持漏洞。该工具能够分析添载至内存中的源码镜像,并在添载过程中搜索DLL,并且行使了微柔Detours代码库来阻截针对LoadLibrary/LoadLibraryEx函数的调用,然后分析在代码运走时过程中添载的DLL文件。

该工具的主要现在标就是协助普及钻研人员搜索可实走程序所行使的DLL列外,并从中识别出湮没的DLL劫持漏洞。

DLL劫持抨击

DLL劫持指的是,病毒议决一些办法来劫持或者替换平常的DLL,欺骗平常程序添载预先准备益的凶意DLL。

最先吾们要晓畅Windows为什么能够DLL劫持呢?主要是由于Windows的资源共享机制。为了尽能够众得安排资源共享,微柔提出众个行使程序共享的任何模块答该放在Windows的编制现在录中,如kernel32.dll,如许能够方便找到。但是随着时间的推移,安设程序会用旧文件或者未向后兼容的新文件来替换编制现在录下的文件,如许会使一些其他的行使程序无法正实在走,所以,微柔转折了策略,提出行使程序将一切文件放到本身的现在录中往,而不要往碰编制现在录下的任何东西。

为了挑供如许的功能,在Window2000开起,微柔添了一个特性,强制操作编制的添载程序最先从行使程序现在录中添载模块,只有当添载程序无法在行使程序现在录中找到文件,才搜索其他现在录。行使编制的这个特性,就能够使行使程序强制添载吾们指定的DLL做一些稀奇的做事。

迅速开起

最先,吾们必要行使下列命令将该项现在源码克隆至本地:

git clone https://github.com/ideaslocas/aDLL.git 

接下来,吾们就能够在项方针Binaries文件夹中找到已编译益的aDLL可实走文件了。吾们提出普及用户行使版本架构(32为或64位)对答的版正本分析现在标可实走文件。

为了保证该工具能够平常运走,吾们必须将“hook32”、“hook64”、“informer*32”和“informer64”安放于“aDLL.exe”的相通现在录下。

工具请求

aDLL是在Windows 10操作编制平台上开发和测试的,倘若你所行使的操作编制版本比较老,或者异国安设Visual Studio的话,那么工具在运走时能够会抛出例如“VCRUNTIME140.dll not found”之类的舛讹,此时吾们就必要安设Visual C++ Redistributable更新了。【下载地址】

项现在编译

如需对项现在辈码进走修改或重新编译,提出行使Visual Studio 2015或更高版本。

工具行使

该工具挑供了一个-h选项,能够协助吾们获取aDLL通盘可用的参数选项:

.\aDLL -h 

针对aDLL的行使,吾们必要挑供起码一个运走参数,即必要分析的可实走程序路径:

.\aDLL -e "C:\System32\notepad.exe" 
工具选项 -h:表现工具的协助新闻,并简要表明每个选项的功能。 -e:指定aDLL要分析的可实走文件的路径。 -t:指定文本文件的路径,其中包含可实走路径列外。 -o:指定扫描通知的存储现在录路径,每个扫描的可实走文件都将在其中存储通知。 -m:搜索可实走文件的清单列外并将其表现在屏幕上。aDLL将会搜索嵌入在二进制文件中的清单列外,倘若清单列外行为外部文件存在,aDLL将无法找到该清单列外。 -w:定义在运走时搜索添载的DLL时可实走进程保持掀开状态的秒数。默认时间为20秒。 -aDLL:倘若搜索到了待测DLL,则会自动检测该DLL是否会议决假装成相符法DLL来实走(凶意DLL假装)。 -d:与-a选项结相符行使,此选项批准吾们选择凶意DLL的路径。 -r:可实走文件导入的每个DLL都能够行为倚赖项导入其他DLL。将对aDLL找到的一切未重定向(ApiseSchema或WinSxS)且不属于编制已知DLL列外的DLL进走“n”次递归搜索。 项现在地址

aDLL:【GitHub传送门】

鸿蒙官方战略配相符共建——HarmonyOS技术社区

Powered by 草草青视频-草莓大秀直播app手机官网-神马影院达达兔 @2018 RSS地图 HTML地图

Copyright 365建站 © 2013-2021 365建站器 版权所有