DLL劫持原理

系统有一套标准的搜索DLL路径的规则，这套规则又分为两种搜索模式，安全搜索模式，非安全搜索模式。

默认情况下启用安全DLL搜索模式。要禁用此功能，需创建HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode注册表值并将其设置为0。

 

如果启用了SafeDllSearchMode，则搜索顺序如下：

1.应用程序所在的目录。使用GetModuleFileName获取exe所在的目录

2.系统目录即SYSTEM32目录。使用GetSystemDirectory函数获取此目录的路径。

3.16位系统目录即SYSTEM的目录。

4.Windows目录。使用GetWindowsDirectory函数获取此目录的路径。

5.加载DLL时所在的当前目录。使用GetCurrentDirectory获取此目录的路径

6.PATH环境变量中列出的目录。

 

如果禁用了SafeDllSearchMode，则搜索顺序如下：

1. 应用程序所在的目录
2. 加载DLL时所在的当前目录。
3. 系统目录即SYSTEM32目录
4. 16位系统目录即SYSTEM的目录。
5. Windows目录。
6. PATH环境变量中列出的目录。

 

如果一个程序所需的DLL在本机的Known DLLs列表中存在，系统将直接使用这个已知的DLL而不会去搜索DLL。

计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs。

Windows操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径，之后，应用程序就将DLL载入了自己的内存空间，执行相应的函数功能。

不过，微软又莫名其妙的允许用户在上述注册表路径中添加“ExcludeFromKnownDlls”注册表项，排除一些被“KnownDLLs注册表项”机制保护的DLL。也就是说，只要在“ExcludeFromKnownDlls”注册表项中添加你想劫持的DLL名称就可以对该DLL进行劫持，不过修改之后需要重新启动电脑才能生效。

在上述描述加载DLL的整个过程中，DLL劫持漏洞就是在系统进行安装“DLL路径搜索目录顺序”搜索DLL的时候发生的。无论安全DLL搜索模式是否开启，系统总是首先会从程序所在目录加载DLL，如果没有找到就按照上面的顺序依次进行搜索。那么，利用这个特性，攻击者就可以伪造一个相同名称，相同导出函数表的一个“假”DLL，并将每个导出函数转向到“真”DLL。将这个“假”DLL放到程序的目录下，当程序调用DLL中的函数时就会首先加载“假”DLL，在“假”DLL中攻击者已经加入了恶意代码，这时这些恶意代码就会被执行，之后，“假”DLL再将DLL调用流程转向“真”DLL，以免影响程序的正常执行。

 

 

如何编写一个劫持的DLL？

编写一个用于劫持指定DLL的DLL文件，需要两个步骤：

1.查看被劫持的DLL的导出函数表。

2.编程实现劫持DLL向原DLL的导出函数的转发，并加入你的“恶意代码”。

 

提供一个version.dll劫持的源码

链接: https://pan.baidu.com/s/1NdBAYcfzBmuTOo_xFuPrQQ 提取码: dxms

 

最后发两个相关的链接：

一款通用的DLL劫持

https://github.com/anhkgg/SuperDllHijack

一个批量验证DLL劫持的工具

https://bbs.pediy.com/thread-255384.htm