中文无码一区二区不卡αv,国产午夜精品久久久久免费视,亚洲AV无码国产精品色蜜桃在线

一回顧DLL挾持的發(fā)展

2010年08月24日微軟發(fā)布安全公告2269637，提到三方軟件編程不安全存在一個DLL挾持的缺陷可以導(dǎo)致遠程攻擊，隨后DLL劫持漏洞開始大規(guī)模傳播，金山毒霸云安全實驗室也在第一時間發(fā)布病毒預(yù)警，并發(fā)布對應(yīng)的金山毒霸免疫工具。

2010年08月24日流行的漏洞信息共享網(wǎng)站exploit-db馬上就爆出多個DLL挾持漏洞涉及的軟件有：Wireshark(免費嗅探器),Windows Live email(郵箱客戶端), Microsoft MovieMaker(視頻編輯處理)，F(xiàn)irefox(網(wǎng)頁瀏覽器), uTorrent (BT下載工具)，PowerPoint 2010(辦公軟件)等

2010年08月25日-26日漏洞信息共享網(wǎng)站exploit-db繼續(xù)爆出Winamp,Google Earth,Photoshop等軟件存在DLL挾持漏洞，同時發(fā)布這個blog之前筆者的電腦中已經(jīng)發(fā)掘存在的流行軟件有，QQ影音，QQ音樂，美圖秀秀，ppstream等

二新老DLL挾持的攻擊原理分析和防御

1 動態(tài)鏈接庫文件通常加載順序如下

windows xp sp2系統(tǒng)以上會默認開啟SafeDllSearchMode，在這么模式下DLL文件的搜索順序如下所示

(1)可執(zhí)行程序加載的目錄(可理解為程序安裝目錄比如 C:\Program Files\uTorrent)

(2)系統(tǒng)目錄(即 %windir%\system32 )

(3)16位系統(tǒng)目錄(即 %windir%\system)

(4)Windows目錄(即 %windir%)

(5)當(dāng)前目錄(運行的某個文件所在目錄，比如C:\Documents and Settings\Administrator\Desktop\test)

(6)PATH環(huán)境變量中列出的目錄

2 老DLL挾持觸發(fā)的原理解析和防御(漏洞觸發(fā)在DLL搜索流程的第一層)

(1)老DLL挾持的特點：

為了增加觸發(fā)的概率，通常會使用usp1.dll，ws2_32.dll，lpk.dll等應(yīng)用程序所必須的系統(tǒng)dll文件，然后利用DLL搜索第一順位是程序安裝目錄，在程序安裝目錄釋放一個同名DLL文件，搶先加載惡意病毒DLL文件，從而達到破壞的作用。這里可執(zhí)行程序相當(dāng)于惡意dll的加載器

(2)老DLL挾持病毒利用回顧重現(xiàn)

2007年羅姆病毒(ws2_32.dll導(dǎo)致很多殺毒軟件無法打開)，2009年春節(jié)貓癬病毒(usp10.dll導(dǎo)致很多用戶重裝系統(tǒng)都無法解決病毒問題)

通常使用老DLL挾持的病毒木馬會枚舉電腦里面的所有exe目錄，然后將惡意的usp10.dll釋放到每個exe所在的目錄。當(dāng)用戶執(zhí)行一個應(yīng)用程序的時候，將會把惡意的usp10.dll文件優(yōu)先加載從而感染系統(tǒng)

根據(jù)前面介紹的DLL加載順序，運行程序的時候會優(yōu)先到程序執(zhí)行的目錄下加載必須文件，下圖顯示了utorrent.exe在安裝目錄下的找到了usp10.dll文件并把它加載到內(nèi)存中。

(3)老DLL挾持的通用免疫方案

可以通過編輯HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs來添加需要面議的DLL文件，比如：新建一個ws2_32 指向ws2_32.dll

3 新DLL挾持觸發(fā)的原理解析和防御(漏洞觸發(fā)在DLL搜索流程的第五層)

(1)新DLL挾持的特點：

應(yīng)用程序為了擴展或者兼容等目的需要加載相應(yīng)的DLL文件，但是因為某些原因?qū)е逻@個DLL文件默認不存在于當(dāng)前系統(tǒng)，比如plugin_dll.dll文件默認情況下不存在utorrent的安裝目錄，dwmapi.dllxp環(huán)境下不存在(Vista以上系統(tǒng)存在)，ie6環(huán)境下沒有ieframe.dll(ie7以上版本存在)。正是因為程序需要的DLL文件在DLL搜索順序的(1)-(4)中都不可能存在，此時就會嘗試加載文件所在目錄下的惡意dll文件，從而達到破壞的作用。這里運行的文件(比如mp3)相當(dāng)于觸發(fā)者，根據(jù)文件關(guān)聯(lián)它會啟動一個應(yīng)用程序去播放mp3文件。而因為應(yīng)用程序存在DLL挾持漏洞(比如QQ影音)，此時QQ影音就會因為設(shè)計上的不足導(dǎo)致成為惡意DLL的加載器。相當(dāng)于老DLL挾持，簡直達到了運行圖片/視頻文件就會執(zhí)行惡意文件的目的，當(dāng)然前提是大灰客們能猜中你電腦里面的默認查看的軟件是否存在DLL挾持漏洞了

(2)新DLL挾持利用重現(xiàn)

通?；铱蛡儠韧ㄟ^DLL挾持挖掘工具尋找存在DLL挾持漏洞的流行應(yīng)用程序，然后構(gòu)造相應(yīng)的文件上傳到網(wǎng)絡(luò)上供用戶下載(具體的傳播方式請看下一章)，如果用戶的電腦存在漏洞那么運行相應(yīng)文件的時候就會執(zhí)行存在漏洞的程序，從而使得惡意dll被不知不覺加載

根據(jù)前面介紹的DLL加載順序和新DLL挾持的特點，程序在前四個流程都沒有找到需要的文件，只能勉為其難的在第五流程-當(dāng)前文件目錄下加載惡意dll文件，下圖就顯示了uTorrent加載plugin_dll.dll順序(前四個流程都是 name not found)并且加載當(dāng)前目錄下惡意plugin_dll.dll文件(第五流程顯示的是success )的過程

(3)新DLL挾持的免疫

目前微軟沒有提供有效的免疫方案可以使用，建議升級你常用軟件到最新版本，同時可以嘗試使用金山毒霸dll劫持漏洞免疫工具減少風(fēng)險

三新DLL挾持可能存在的攻擊方式

exploit-db公布了存在DLL Hijacking的大量常用軟件，這些軟件里面有視頻音頻播放器，圖像設(shè)計瀏覽軟件，IM聊天工具，文字處理軟件，網(wǎng)頁瀏覽器，下載軟件，殺毒軟件。根據(jù)在下的一點拙見如果病毒作者想要利用這個漏洞來實現(xiàn)廣泛傳播的話主要有幾種方式。

1 BT下載大片傳播

挖掘出支持BT下載的流行軟件(比如uTorrent )的DLL Hijacking漏洞，然后構(gòu)造一個惡意dll文件(估計會設(shè)置隱藏屬性，這樣你解壓以后將不會看到這個文件)和BT種子文件打包成壓縮包上傳到網(wǎng)上供用戶下載，用戶一旦下載了這個壓縮包雙擊BT種子文件的時候會調(diào)用uTorrent 打開，uTorrent 運行的時候由于設(shè)計上的不河蟹根據(jù)dll加載的順序最后會將種子所在目錄的惡意dll加載

2 美女圖片分享傳播

挖掘出流行圖片瀏覽工具(比如美圖秀秀)的DLL Hijacking漏洞，然后構(gòu)造一個惡意dll文件(估計會設(shè)置隱藏屬性，這樣你解壓以后將不會看到這個文件)和圖片文件打包成壓縮包上傳到網(wǎng)上供用戶下載，用戶一旦下載了這個壓縮包，解壓瀏覽美女靚照的時候可能會調(diào)用圖片瀏覽工具打開從而觸發(fā)漏洞加載惡意dll文件

3 軟件下載包含的網(wǎng)頁文件傳播

挖掘出流行網(wǎng)頁瀏覽工具(比如firefox)的DLL Hijacking漏洞，然后構(gòu)造一個惡意dll文件(估計會設(shè)置隱藏屬性，這樣你解壓以后將不會看到這個文件)，應(yīng)用程序和htm等網(wǎng)頁文件打包成軟件壓縮包并上傳到網(wǎng)上供用戶下載。用戶一旦下載了這個軟件壓縮包，解壓以后運行安裝必看.htm之類的網(wǎng)頁文件會調(diào)用網(wǎng)頁瀏覽工具打開從而觸發(fā)漏洞加載惡意dll文件

4 熱門視頻音頻文件傳播

挖掘出流行視頻音頻播放工具(比如QQ影音)的DLL Hijacking漏洞，然后構(gòu)造一個惡意dll文件(估計會設(shè)置隱藏屬性，這樣你解壓以后將不會看到這個文件)和rmvb等視音頻文件打包壓縮包并上傳到網(wǎng)上供用戶下載。用戶一旦下載了這個壓縮包，解壓播放相應(yīng)視頻的時候從而觸發(fā)漏洞加載惡意dll文件

5 目前公布的部分軟件列表

Google Earth

Nullsoft Winamp 5.581

Media Player Classic 6.4.9.1

Mozilla Thunderbird

Microsoft Office PowerPoint 2007

Adobe InDesign CS4

Nvidia Driver

Adobe Illustrator CS4

Adobe Premier Pro CS4

Skype <= 4.2.0.169

TechSmith Snagit 10