无处不在的dll劫持

前言

dll劫持是比较经典，也是比较老的技术，但到目前位置依然能用。

具体原理就是某些exe需要加载dll，而查找dll的目录顺序如下：

• 应用程序所在目录；
• 系统目录SYSTEM32目录；
• 16位系统目录即SYSTEM 目录。该项只是为了向前兼容的处理，可以不考虑；
• Windows目录。通常是C:\Windows；
• 加载 DLL 时所在的当前目录；
• 环境变量PATH中所有目录。需要注意的是，这里不包括App Paths注册表项指定的应用程序路径。

所以如果一个dll不在应用程序所在目录，那么我们可以在应用程序所在目录放一个我们自己的dll，名称改为要加载dll的名称，这样当程序启动时，程序会加载我们自己的dll。当然这里只是简单的说了一种情况，某些情况下，即便正常dll存在，我们也可以通过dll劫持转发的方式劫持，目前不少厂商已经通过hash，MD5校验或数字签名验证等方式确保加载的dll为自己的dll，这会是即便你找到了相关可利用的dll劫持但还是失败的原因之一。

Windows 7之后：

微软为了更进一步的防御系统的DLL被劫持，将一些容易被劫持的系统DLL写进了一个注册表项中，那么凡是此项下的DLL文件就会被禁止从EXE自身所在的目录下调用，而只能从系统目录即SYSTEM32目录下调用。注册表路径如下：

本机win11的knownDLLs

分析一个应用程序是否存在劫持系统DLL的漏洞，通常需要几个步骤：

1. 启动应用程序
2. 使用Process Monitor等类似软件查看该应用程序启动后加载的动态链接库。
3. 从该应用程序已经加载的DLL列表中，查找在上述“KnownDLLs注册表项”中不存在的DLL。
4. 编写从上一步获取到的DLL的劫持DLL。
5. 将编写好的劫持DLL放到该应用程序目录下，重新启动该应用程序，检测是否劫持成功。

劫持不存在的DLL

最近游戏玩的比较多，用开黑啦试一下

使用process Monitor Filter对kaiheila.exe进程进行监控

劫持已经存在的DLL

这里找到一个成功加载的

然后再重新执行程序，这里同样是弹出了窗口

转发式劫持

能够成功劫持，但劫持后影响正常程序运行

uu语音上线