D盾dll劫持利用
原理
我个人的理解是:通过一些方法来劫持或者替换原程序运行时调用的dll,欺骗程序加载该恶意dll。
利用途径
dll劫持可用来做权限维持,钓鱼攻击等等。(当然师傅们肯定还有其他骚思路,这里不一一举例)
漏洞挖掘
1、运行D盾客户端(我这里是v.2.1.5.4),使用Process Explorer查看程序加载了哪些dll。
2、在这里还需要介绍下SafeDllSearchMode和KnownDLLs,前者是windows针对dll劫持设置的安全机制,后者包含了系统中常见的dll,但如果在该注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs,创建KnownDLLs中同名dll并指定位置,同名dll将保护失效。(具体原理请自行百度)
3、检测方式
点击收藏 | 1
关注 | 1