dll劫持源碼
『壹』 如何破解DLL文件 反編譯用那個工具 主要是准確的得到源碼
修改么?
首先查看使用什麼語言編寫的,是否加殼,可以用PEID查看;
如果有殼的話,還得脫殼,這是第二步:
反匯編,如果是修改的話,可以使用exescope\resscope
SDL
Passolo\Language
Localizator等,具體可去
www.hanzify.org
,那裡有許多教學帖。
如果是做crack,用OllyDbg的多一點,可以去
www.pediy.com
『貳』 易語言DLL如何防止他人調用有哪些源碼參考
可以主程序窗口裡拖一個「伺服器」進去,DLL里加客戶端,客戶端連接服務端,在時限里客戶端連接到伺服器通過驗證才能使用。
也可以使用進程通訊。還可以寫一串驗證碼到某個文件里或者注冊表裡,這串驗證碼根據時間動態生成,DLL來檢驗這串字元是否正確。
推薦「淡淡網路程序拓展模塊 9.39」,這個模塊比外掛作坊1.5強大不知道多少,外掛作坊1.5好像是2006年出的,好多功能都不行,在WIN7下用不了。啟亮告
『叄』 vb怎麼劫持文件就是劫持一個軟體其中一個dll 啟動軟體就會載入這個dll
DLL劫持利用系統未知DLL的搜索路徑方式,使得程序載入當前目錄下的系統同名DLL。所以可以告訴系統DLL的位置,改變載入系統DLL的順序不是當前目錄,而是直接到系統目錄下查找。
這個想法可以通過修改注冊表實現。
在注冊表鍵值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
是調用系統DLL的首要查找目錄。例如裡面有RE_SZ類型的ntdll=ntdll.dll項,則系統載入ntdll時會直接從系統目錄載入。
由此,添加LPK=LPK.DLL即可防止LPK被劫持,同理可以阻止一些其他DLL被劫持,例如USP10。
在Windows NT系統,XP默認只有少數關鍵DLL在此鍵值下,Win7下面此鍵值已經相當齊全,在Win7系統下發生DLL劫持的概率要比XP小很多。
一 回顧DLL挾持的發展
2010年08月24日微軟發布安全公告2269637,提到三方軟體編程不安全存在一個DLL挾持的缺陷可以導致遠程攻擊
2010年08月24日流行的漏洞信息共享網站exploit-db馬上就爆出多個DLL挾持漏洞涉及的軟體有:Wireshark(免費嗅探器),Windows Live email(郵箱客戶端), Microsoft MovieMaker(視頻編輯處理),Firefox(網頁瀏覽器), uTorrent (BT下載工具),PowerPoint 2010(辦公軟體)等
2010年08月25日-26日漏洞信息共享網站exploit-db繼續爆出Winamp,Google Earth,Photoshop等軟體存在DLL挾持漏洞,同時發布這個blog之前筆者的電腦中已經發掘存在的流行軟體有,QQ影音,QQ音樂,美圖秀秀,ppstream等
二新老DLL挾持的攻擊原理分析和防禦
1 動態鏈接庫文件通常載入順序如下
windows xp sp2系統以上會默認開啟SafeDllSearchMode,安全dll搜索模式下DLL文件的搜索順序如下所示
(1)可執行程序載入的目錄(可理解為程序安裝目錄比如 C:\Program Files\uTorrent)(2)系統目錄(即 %windir%\system32 )(3)16位系統目錄(即 %windir%\system)(4)Windows目錄(即 %windir%)(5)運行某文件的所在目錄,比如C:\Documents and Settings\Administrator\Desktop\test)(6)PATH環境變數中列出的目錄
2 老DLL挾持觸發的原理解析和防禦(漏洞觸發在DLL搜索流程的第一層,運行程序即載入病毒)
(1)老DLL挾持的特點:
為了增加觸發的概率,通常會使用usp1.dll,ws2_32.dll,lpk.dll等應用程序所必須的系統dll文件,然後利用DLL搜索第一順位是程序安裝目錄,在程序安裝目錄釋放一個同名DLL文件,搶先載入惡意病毒DLL文件,從而達到破壞的作用。這里可執行程序相當於惡意dll的載入器
(2)老DLL挾持病毒利用回顧重現
2007年羅姆病毒(ws2_32.dll導致很多殺毒軟體無法打開),2009年春節貓癬病毒(usp10.dll導致很多用戶重裝系統都無法解決病毒問題)
通常使用老DLL挾持的病毒木馬會枚舉電腦裡面的所有exe目錄,然後將惡意的usp10.dll釋放到每個exe所在的目錄。當用戶執行一個應用程序的時候,將會把惡意的usp10.dll文件優先載入從而感染系統
根據前面介紹的DLL載入順序,運行程序的時候會優先到程序執行的目錄下載入必須文件,下圖顯示了utorrent.exe在安裝目錄下的找到了usp10.dll文件並把它載入到內存中。
(3)老DLL挾持的通用免疫方案
可以通過編輯HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs來添加需要面議的DLL文件,比如:新建一個ws2_32 指向ws2_32.dll
3 新DLL挾持觸發的原理解析和防禦(漏洞觸發在DLL搜索流程的第五層,運行圖片即載入病毒)
(1)新DLL挾持的特點:
應用程序為了擴展或者兼容等目的需要載入相應的DLL文件,但是因為某些原因導致這個DLL文件默認不存在於當前系統,比如plugin_dll.dll文件默認情況下不存在utorrent的安裝目錄,dwmapi.dllxp環境下不存在(Vista以上系統存在),ie6環境下沒有ieframe.dll(ie7以上版本存在)。正是因為程序需要的DLL文件在DLL搜索順序的(1)-(4)中都不可能存在,此時就會嘗試載入文件所在目錄下的惡意dll文件,從而達到破壞的作用。這里運行的文件(比如mp3)相當於觸發者,根據文件關聯它會啟動一個應用程序去播放mp3文件。而因為應用程序存在DLL挾持漏洞(比如QQ影音),此時QQ影音就會因為設計上的不足導致成為惡意DLL的載入器。相當於老DLL挾持,簡直達到了運行圖片/視頻文件就會執行惡意文件的目的,當然前提是大灰客們能猜中你電腦裡面的默認查看的軟體是否存在DLL挾持漏洞了,目前已經發現的存在DLL挾持缺陷的主要有以下幾類
① 特定系統環境下的文件
典型的有dwmapi.dll文件,xp環境下不存在,vista以上版本存在,也就是說需要觸發這個漏洞的系統環境只能是XP系統
② 特定軟體版本下的文件
典型的有:ieframe.dll,IE6下不 存在,ie7以上版本有,也就是說觸發漏洞的電腦IE必須是IE6版本
③ 特定的庫文件
典型的有:mfc80chs.dll
④ 程序自己需要的dll文件,可能是為了功能擴展或者兼容
典型的有:plugin_dll.dll
⑤ 其它未知
(2)新DLL挾持利用重現
通常灰客們會先通過DLL挾持挖掘工具尋找存在DLL挾持漏洞的流行應用程序,然後構造相應的文件上傳到網路上供用戶下載(具體的傳播方式請看下一章),如果用戶的電腦存在漏洞那麼運行相應文件的時候就會執行存在漏洞的程序,從而使得惡意dll被不知不覺載入
根據前面介紹的DLL載入順序和新DLL挾持的特點,程序在前四個流程都沒有找到需要的文件,只能勉為其難的在第五流程-當前文件目錄下載入惡意dll文件,下圖就顯示了uTorrent載入plugin_dll.dll順序(前四個流程都是 name not found)並且載入當前目錄下惡意plugin_dll.dll文件(第五流程顯示的是success )的過程
『肆』 【易語言】【OD】關於寫dll劫持(也可叫做靜態補丁)的方法
改文件我渣空餘覺得不如dll注入來的優雅。
VirtualAllocEx申請內存,
WriteProcessMemory將你的裝載dll的shellcode寫過去,
CreateRemoteThread創建線程,指向你如滾的shellcode。
簡單愉快,完全不需要改OEP,更不用搜索00。
如果你那麼固執要用你的靜態補丁方法,
其實我覺得你也不需要用什麼易語言了,直接把你用OD修改的DLL,保存並替代原文件,
就可以了,何須那麼麻煩,當然除非你這個DLL還是EXE有什麼特殊的地方不能這樣。
易語言用匯編比較蛋疼,而且我對易語言也不太了解,
如果你那麼固執要用編程來解決,我就大概提一下思路。
一、搜00,找個足夠大的空的地方
二、通過讀PE結構獲取OEP,不懂的話請自行網路PE結構。
三、OEP改成你步驟一找到的空地,
這一塊涉及到文件虛擬地址對齊問題(好像是這么叫的),比較復雜,而且我也不太清楚,
交給你自己解決。
四、空地里寫入你的shellcode。你的shellcode有個問題,call LoadLibrary用的是相對偏移跳 轉,當你這句匯編的位置483AFE,那麼你就會call到別的地方去了,可以改虧御成如下代碼:
mov eax,LoadLibrary地址
call eax
五、shellcode末尾jmp回原OEP,同樣涉及對齊問題,自行研究吧。