【横向移动之DLL劫持入门与防御 从原理解析如何防御DLL劫持】DLL(Dynamic Link Library)文件为动态链接库文件,又称&
由于共享DLL的特性,只要攻击者能够将恶意的DLL放在优先于正常DLL所在的目录,就能够欺骗系统优先加载恶意DLL,来实现&
DLL劫持应用比较广泛,比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等 。之所以DLL劫持技术深受攻击者的喜爱,主要是因为该技术可以有效的躲过大部分杀软 , 并且实现起来技术难度不大 。本文将研究可以在大多数 Windows 版本中发生的两种 DLL 劫持,以及如何实现横向移动,包括防御和检测方法 。
02
详细说明
“Service Control Manager” 。审核文件共享服务非常重要,因为许多DLL劫持方法都需要在受信任的 System32 目录中放置一个 DLL 。
07
基于网络的检测和防御手段
监控 RPC UUID {367ABB81–9844–35F1-AD32–98F038001003} 在端口 135 上的通信 , UUID 表示服务控制管理器 。该操作打开一个新的命名管道 SVCCTL,供客户端通过端口445进行通信 , 以控制所需的服务 。
启动和停止服务调用的 SCM RPC 方法如下所示 。
启动服务时调用的 SCM RPC 方法 。
停止服务时调用的 SCM RPC 方法 。
防范DLL劫持
1.修改文件manifest属性 , 进行定向加载DLL,解决通用系统DLL劫持问题
<?xml version=&
<assembly manifestVersion=&
<file name=&
<file name=&
<file name=&
</assembly>
2.在程序运行后,遍历当前路径下的dll , 确认MD5和数字签名安全后 , 再进行后续的加载 。
以上就是朝夕生活(www.30zx.com)关于“横向移动之DLL劫持入门与防御 从原理解析如何防御DLL劫持”的详细内容,希望对大家有所帮助!
猜你喜欢
- 杀毒软件连连看,2017的今天到底还有没有必要?
- 如何将日志记录到 Windows事件日志 中
- 剑侠IP又出新作,《剑侠世界3》这次能让剑三粉丝买单吗?
- 「饭聊」剑网三云游戏内测背后:端游的改进还是手游的革命?
- 剑三:JJC规则将调,装备获取不再与等级挂钩,代打将何去何从?
- 客观一些,你觉得北京人的优点在哪?缺陷有哪些?|太精辟了
- 饲养半水龟,环境最关键!
- 实体店获取顾客电话的9个绝招!分分钟解决顾客谢绝留电话的烦恼
- 房地产销售技巧:怎么获取客户的联络方式