dll劫持

由於輸入表中只包含DLL名而沒有它的路徑名，因此加載程序必須在磁盤上搜索DLL文件。首先會嘗試從當前程序所在的目錄加載DLL，如果沒找到，則在Windows系統目錄中查找，最後是在環境變量中列出的各個目錄下查找。利用這個特點，先偽造一個系統同名的DLL，提供同樣的輸出表，每個輸出函數轉向真正的系統DLL。程序調用系統DLL時會先調用當前目錄下偽造的DLL，完成相關功能後，再跳到系統DLL同名函數里執行。這個過程用個形象的詞來描述就是系統DLL被劫持（hijack）了。

利用這種方法取得控制權後，可以對主程序進行補丁。此種方法只對除kernel32.dll、ntdll.dll等核心系統庫以外的DLL有效，如網絡應用程序的ws2_32.dll、遊戲程序中的d3d8.dll，還有大部分應用程序都調用的lpk.dll、sxs.dll，這些DLL都可被劫持。

偽造的dll製作好後，放到程序當前目錄下，這樣當原程序調用原函數時就調用了偽造的dll的同名函數，進入劫持DLL的代碼，處理完畢後，再調用原DLL此函數。

這種補丁技術，對加殼保護的軟件很有效，選擇掛接的函數最好是在殼中沒有被調用的，當掛接函數被執行時，相關的代碼已被解壓，可以直接補丁了。在有些情況下，必須用計數器統計掛接的函數的調用次數來接近OEP。此方法巧妙地繞過了殼的複雜檢測，很適合加殼程序的補丁製作。

一些木馬或病毒也會利用DLL劫持技術搞破壞，因此當在應用程序目錄下發現系統一些DLL文件存在時，如lpk.dll，應引起注意。

DLL劫持利用系統未知DLL的搜索路徑方式，使得程序加載當前目錄下的系統同名DLL。所以可以告訴系統DLL的位置，改變加載系統DLL的順序不是當前目錄，而是直接到系統目錄下查找。

這個想法可以通過修改註冊表實現。

在註冊表鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

是調用系統DLL的首要查找目錄。例如裏面有RE_SZ類型的"ntdll"="ntdll.dll"項，則系統載入"ntdll"時會直接從系統目錄加載。

由此，添加"LPK"="LPK.DLL"即可防止LPK被劫持，同理可以阻止一些其他DLL被劫持，例如"USP10"。

在Windows NT系統，XP默認只有少數關鍵DLL在此鍵值下，Win7下面此鍵值已經相當齊全，在Win7系統下發生DLL劫持的概率要比XP小很多。

2010年08月24日微軟發佈安全公告2269637，提到三方軟件編程不安全存在一個DLL挾持的缺陷可以導致遠程攻擊

2010年08月24日流行的漏洞信息共享網站exploit-db馬上就爆出多個DLL挾持漏洞涉及的軟件有：Wireshark（免費嗅探器）,Windows Live email（郵箱客户端）, Microsoft MovieMaker（視頻編輯處理），Firefox（網頁瀏覽器）, uTorrent （BT下載工具），PowerPoint 2010（辦公軟件）等

2010年08月25日－26日漏洞信息共享網站exploit-db繼續爆出Winamp,Google Earth,Photoshop等軟件存在DLL挾持漏洞，同時發佈這個blog之前筆者的電腦中已經發掘存在的流行軟件有，QQ影音，QQ音樂，美圖秀秀，ppstream等

1 動態鏈接庫文件通常加載順序如下

windows xp sp2系統以上會默認開啓SafeDllSearchMode，安全dll搜索模式下DLL文件的搜索順序如下所示

（1）可執行程序加載的目錄（可理解為程序安裝目錄比如 C:\Program Files\uTorrent）（2）系統目錄（即 %windir%\system32 ）（3）16位系統目錄（即 %windir%\system）（4）Windows目錄（即 %windir%）（5）運行某文件的所在目錄，比如C:\Documents and Settings\Administrator\Desktop\test（6）PATH環境變量中列出的目錄

2 老DLL挾持觸發的原理解析和防禦（漏洞觸發在DLL搜索流程的第一層，運行程序即加載病毒）

（1）老DLL挾持的特點：

為了增加觸發的概率，通常會使用usp1.dll，ws2_32.dll，lpk.dll等應用程序所必須的系統dll文件，然後利用DLL搜索第一順位是程序安裝目錄，在程序安裝目錄釋放一個同名DLL文件，搶先加載惡意病毒DLL文件，從而達到破壞的作用。這裏可執行程序相當於惡意dll的加載器

（2）老DLL挾持病毒利用回顧重現

2007年羅姆病毒（ws2_32.dll導致很多殺毒軟件無法打開），2009年春節貓癬病毒（usp10.dll導致很多用户重裝系統都無法解決病毒問題）

通常使用老DLL挾持的病毒木馬會枚舉電腦裏面的所有exe目錄，然後將惡意的usp10.dll釋放到每個exe所在的目錄。當用户執行一個應用程序的時候，將會把惡意的usp10.dll文件優先加載從而感染系統

根據前面介紹的DLL加載順序，運行程序的時候會優先到程序執行的目錄下加載必須文件。

（3）老DLL挾持的通用免疫方案

可以通過編輯HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs來添加需要面議的DLL文件，比如：新建一個ws2_32 指向ws2_32.dll

3 新DLL挾持觸發的原理解析和防禦（漏洞觸發在DLL搜索流程的第五層，運行圖片即加載病毒）

（1）新DLL挾持的特點：

應用程序為了擴展或者兼容等目的需要加載相應的DLL文件，但是因為某些原因導致這個DLL文件默認不存在於當前系統，比如plugin_dll.dll文件默認情況下不存在utorrent的安裝目錄，dwmapi.dllxp環境下不存在（Vista以上系統存在），ie6環境下沒有ieframe.dll（ie7以上版本存在）。正是因為程序需要的DLL文件在DLL搜索順序的（1）－（4）中都不可能存在，此時就會嘗試加載文件所在目錄下的惡意dll文件，從而達到破壞的作用。這裏運行的文件（比如mp3）相當於觸發者，根據文件關聯它會啓動一個應用程序去播放mp3文件。而因為應用程序存在DLL挾持漏洞（比如QQ影音），此時QQ影音就會因為設計上的不足導致成為惡意DLL的加載器。相當於老DLL挾持，簡直達到了運行圖片/視頻文件就會執行惡意文件的目的，當然前提是大灰客們能猜中你電腦裏面的默認查看的軟件是否存在DLL挾持漏洞了，已經發現的存在DLL挾持缺陷的主要有以下幾類

① 特定系統環境下的文件

典型的有dwmapi.dll文件，xp環境下不存在，vista以上版本存在，也就是説需要觸發這個漏洞的系統環境只能是XP系統

② 特定軟件版本下的文件

典型的有：ieframe.dll，IE6下不 存在，ie7以上版本有，也就是説觸發漏洞的電腦IE必須是IE6版本

③ 特定的庫文件

典型的有：mfc80chs.dll

④ 程序自己需要的dll文件，可能是為了功能擴展或者兼容

典型的有：plugin_dll.dll

⑤ 其它未知

（2）新DLL挾持利用重現

通常灰客們會先通過DLL挾持挖掘工具尋找存在DLL挾持漏洞的流行應用程序，然後構造相應的文件上傳到網絡上供用户下載（具體的傳播方式請看下一章），如果用户的電腦存在漏洞那麼運行相應文件的時候就會執行存在漏洞的程序，從而使得惡意dll被不知不覺加載

根據前面介紹的DLL加載順序和新DLL挾持的特點，程序在前四個流程都沒有找到需要的文件，只能勉為其難的在第五流程－當前文件目錄下加載惡意dll文件，（前四個流程都是 name not found）並且加載當前目錄下惡意plugin_dll.dll文件（第五流程顯示的是success ）的過程

（3）新DLL挾持的免疫

微軟沒有提供有效的免疫方案可以使用，建議升級你常用軟件到最新版本.

exploit-db公佈了存在DLL Hijacking的大量常用軟件，這些軟件裏面有視頻音頻播放器，圖像設計瀏覽軟件，IM聊天工具，文字處理軟件，網頁瀏覽器，下載軟件，殺毒軟件。根據在下的一點拙見如果病毒作者想要利用這個漏洞來實現廣泛傳播的話主要有幾種方式。

1 BT下載大片傳播

挖掘出支持BT下載的流行軟件（比如uTorrent ）的DLL Hijacking漏洞，然後構造一個惡意dll文件（估計會設置隱藏屬性，這樣你解壓以後將不會看到這個文件）和BT種子文件打包成壓縮包上傳到網上供用户下載，用户一旦下載了這個壓縮包雙擊BT種子文件的時候會調用uTorrent 打開，uTorrent 運行的時候由於設計上的不和諧根據dll加載的順序最後會將種子所在目錄的惡意dll加載

2 美女圖片分享傳播

挖掘出流行圖片瀏覽工具（比如美圖秀秀）的DLL Hijacking漏洞，然後構造一個惡意dll文件（估計會設置隱藏屬性，這樣你解壓以後將不會看到這個文件）和圖片文件打包成壓縮包上傳到網上供用户下載，用户一旦下載了這個壓縮包，解壓瀏覽美女靚照的時候可能會調用圖片瀏覽工具打開從而觸發漏洞加載惡意dll文件

3 軟件下載包含的網頁文件傳播

挖掘出流行網頁瀏覽工具（比如firefox）的DLL Hijacking漏洞，然後構造一個惡意dll文件（估計會設置隱藏屬性，這樣你解壓以後將不會看到這個文件），應用程序和htm等網頁文件打包成軟件壓縮包並上傳到網上供用户下載。用户一旦下載了這個軟件壓縮包，解壓以後運行安裝必看.htm之類的網頁文件會調用網頁瀏覽工具打開從而觸發漏洞加載惡意dll文件

4 熱門視頻音頻文件傳播

挖掘出流行視頻音頻播放工具（比如QQ影音）的DLL Hijacking漏洞，然後構造一個惡意dll文件（估計會設置隱藏屬性，這樣你解壓以後將不會看到這個文件）和rmvb等視音頻文件打包壓縮包並上傳到網上供用户下載。用户一旦下載了這個壓縮包，解壓播放相應視頻的時候從而觸發漏洞加載惡意dll文件

5 已公佈的部分軟件列表

Google Earth

Nullsoft Winamp 5.581

Media Player Classic 6.4.9.1

Mozilla Thunderbird

Microsoft Office PowerPoint 2007

Adobe InDesign CS4

Nvidia Driver

Adobe Illustrator CS4

Adobe Premier Pro CS4

Skype = 4.2.0.169

TechSmith Snagit 10

Safari v5.0.1

uTorrent

Microsoft Visio 2003

Adobe Photoshop CS2

avast! = 5.0.594

Adobe Dreamweaver CS5

Opera v10.61

Firefox = 3.6.8

（1） 調用LoadLibrary， LoadLibraryEx， CreateProcess的，或者 的ShellExecute 等涉及到模塊加載的函數的時候，指定DLL加載的完整路徑，貌似應該有API可以獲取當前程序運行的目錄的

（2）考慮使用 的DLL重定向 或 Manifests文件 ，以確保您的應用程序使用正確的DLL。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

（3）確保DLL安全搜索模式被激活。未使用安全搜索設置的話，第二加載項就是當前目錄。

HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode

（4）從搜索列表中取消當前目錄，可以通過調用SetDllDirectory 參數設置為一個空字符串