社区编辑申请
注册/登录
如何使用aDLL自动识别DLL劫持漏洞
安全 数据安全
该工具的主要目标就是帮助广大研究人员搜索可执行程序所使用的DLL列表,并从中识别出潜在的DLL劫持漏洞。

关于aDLL

aDLL是一款功能强大的代码分析工具,可以帮助广大研究人员以自动化的方式识别并发现DLL劫持漏洞。该工具可以分析加载至内存中的源码镜像,并在加载过程中搜索DLL,并且利用了微软Detours代码库来拦截针对LoadLibrary/LoadLibraryEx函数的调用,然后分析在代码运行时过程中加载的DLL文件。

该工具的主要目标就是帮助广大研究人员搜索可执行程序所使用的DLL列表,并从中识别出潜在的DLL劫持漏洞。

DLL劫持攻击

DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。

首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的资源共享机制。为了尽可能多得安排资源共享,微软建议多个应用程序共享的任何模块应该放在Windows的系统目录中,如kernel32.dll,这样能够方便找到。但是随着时间的推移,安装程序会用旧文件或者未向后兼容的新文件来替换系统目录下的文件,这样会使一些其他的应用程序无法正确执行,因此,微软改变了策略,建议应用程序将所有文件放到自己的目录中去,而不要去碰系统目录下的任何东西。

为了提供这样的功能,在Window2000开始,微软加了一个特性,强制操作系统的加载程序首先从应用程序目录中加载模块,只有当加载程序无法在应用程序目录中找到文件,才搜索其他目录。利用系统的这个特性,就可以使应用程序强制加载我们指定的DLL做一些特殊的工作。

快速开始

首先,我们需要使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/ideaslocas/aDLL.git 

接下来,我们就可以在项目的Binaries文件夹中找到已编译好的aDLL可执行文件了。我们建议广大用户使用版本架构(32为或64位)对应的版本来分析目标可执行文件。

为了保证该工具可以正常运行,我们必须将“hook32”、“hook64”、“informer*32”和“informer64”放置于“aDLL.exe”的相同目录下。

工具要求

aDLL是在Windows 10操作系统平台上开发和测试的,如果你所使用的操作系统版本比较老,或者没有安装Visual Studio的话,那么工具在运行时可能会抛出例如“VCRUNTIME140.dll not found”之类的错误,此时我们就需要安装Visual C++ Redistributable更新了。【下载地址

项目编译

如需对项目代码进行修改或重新编译,建议使用Visual Studio 2015或更高版本。

工具使用

该工具提供了一个-h选项,可以帮助我们获取aDLL全部可用的参数选项:

  1. .\aDLL -h 

针对aDLL的使用,我们需要提供至少一个运行参数,即需要分析的可执行程序路径:

  1. .\aDLL -e "C:\System32\notepad.exe" 

工具选项

  • -h:显示工具的帮助信息,并简要说明每个选项的功能。
  • -e:指定aDLL要分析的可执行文件的路径。
  • -t:指定文本文件的路径,其中包含可执行路径列表。
  • -o:指定扫描报告的存储目录路径,每个扫描的可执行文件都将在其中存储报告。
  • -m:搜索可执行文件的清单列表并将其显示在屏幕上。aDLL将会搜索嵌入在二进制文件中的清单列表,如果清单列表作为外部文件存在,aDLL将无法找到该清单列表。
  • -w:定义在运行时搜索加载的DLL时可执行进程保持打开状态的秒数。默认时间为20秒。
  • -aDLL:如果搜索到了待测DLL,则会自动检测该DLL是否会通过伪装成合法DLL来执行(恶意DLL伪装)。
  • -d:与-a选项结合使用,此选项允许我们选择恶意DLL的路径。
  • -r:可执行文件导入的每个DLL都可以作为依赖项导入其他DLL。将对aDLL找到的所有未重定向(ApiseSchema或WinSxS)且不属于系统已知DLL列表的DLL进行“n”次递归搜索。

项目地址

aDLL:【GitHub传送门

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-05-05 15:36:28

漏洞勒索软件恶意软件

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-20 14:57:50

漏洞安全威胁

2022-06-07 10:09:42

新技术人工智能5G

2022-05-25 07:11:13

2022-06-09 18:04:46

网络攻击网络安全

2022-06-17 11:24:52

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-28 12:14:02

DockerLinux

2022-06-06 14:32:36

2022-06-07 09:59:21

网络安全安全漏洞

2022-05-06 10:21:22

Python人脸识别

2022-06-06 11:21:22

网络安全工具禁令

2022-06-30 10:22:26

K8s可观测Prometheus

2022-06-15 14:40:54

英特尔漏洞

2022-06-29 09:58:53

物联网供应链

2022-05-12 09:00:00

人工智能面部识别智能监控

2022-05-26 14:53:14

恶意软件ChromeLoad浏览器

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

同话题下的热门内容

都怪二维码,造就了网友们的社死现场...谁家的加密密钥,写死在代码里?从扫码登录的原理分析QQ大量被盗事件用手机摄像头就能捕捉指纹?!准确度堪比签字画押,专家:你们在加剧歧视邮件安全网关与集成云邮件安全的区别全融合 全场景 可信任 | 数字认证密码云战略开启密码交付新模式七个机器身份管理的优秀实践微软Exchange被爆高危后门 可用于窃取凭证等

编辑推荐

网络管理员的利器之9款值得关注的Ping监控工具2020年漏洞扫描工具Top10细说七大邮件安全协议的实现原理安全趣闻 | “ji32k7au4a83”竟然是一个典型弱密码用于渗透测试的10种漏洞扫描工具
我收藏的内容
点赞
收藏

51CTO技术栈公众号