DLL劫持(DLL Hijacking Exploit)攻击出现以后,老外就发了DLL挟持fuzz的工具供爱好者挖掘自己电脑里面存在DLL挟持漏洞的软件。
1.DLLHijackAuditKit
这个软件会枚举系统中所有文件后缀名,然后根据processmon的日志找出那些可能存在DLL挟持漏洞的软件,同时会生成exp文件,不过一次运行的时间还是比较长的。
2.DllHijackAuditorv
这个软件测试了下感觉还行,不像DLLHijackAuditKit可以自动查找所有可能存在的软件,不过用来针对性查找相应程序的DLL挟持漏洞还是可以的,以下是“美图看看”DLL劫持攻击检测结果,显然这个版本的“美图看看”存在DLL劫持攻击漏洞。
另外,微软帮助和支持中心发布了一个新的CWDIllegalInDllSearch注册表项来控制DLL搜索路径算法。
CWDIllegalInDllSearch 注册表项的工作方式
应用程序在不指定完全限定路径的情况下动态加载DLL时,Windows将尝试在一组明确定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后就会加载该DLL。如果Windows按 DLL搜索顺序没有在任何目录中找到DLL,则会为DLL加载操作返回一个失败结果。
LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是这两个函数的DLL搜索顺序:
从其中加载应用程序的目录
系统目录
16 位系统目录
Windows 目录
当前工作目录 (CWD)
PATH 环境变量中列出的目录
