[原创]半自动发掘dll hijack-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]半自动发掘dll hijack

发表于: 2012-12-31 16:56 15608

[原创]半自动发掘dll hijack

xSpy

2012-12-31 16:56

15608

感谢accessed提供强大的MDebug,
dll hijack大家都不陌生了,下面演示一种简单的办法来半自动寻找dll劫持.
为此仅需要编写一段简单的脚本.
只过滤了常见的knowndlls,需要的时候自己可以添加,比较简陋的办法,抛砖引玉

以xp sp3的dwwin.exe为例,测试

update,添加32/64的脚本.
过滤完整的known dlls

利用脚本直接发掘出wps 可以利用的模块
SHFolder.dll
Iphlpapi.dll
SXS.DLL
plgpf.dll

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

FindDllHikack.zip （84.55kb，246次下载）
Snap1.jpg （85.27kb，37次下载）
FindDllHijackFull.zip （2.33kb，240次下载）

收藏・30

免费・6

支持

最新回复 (25) 1 2 ▶
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 2 楼感谢。分享。 2012-12-31 17:41 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 3 楼非常不错，就是下面的显示有点乱 2012-12-31 17:42 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼来看看，感谢分享 2012-12-31 23:34 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 5 楼关注一下！！！ 2012-12-31 23:43 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 6 楼 LZ发的是基于木马常利用的Hijacking。我刚刚发了一个基于漏洞形式的hijacking。 2013-1-1 00:08 0
linhanshi 雪币： 97697 活跃值： (200799) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27943 粉丝 451 关注私信	linhanshi 7 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，4次下载） 2013-1-1 08:14 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 8 楼感谢共享！！！ 2013-1-1 15:00 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 9 楼谢谢分享。。。 2013-1-1 23:35 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 10 楼好东西，感谢分享。 2013-1-1 23:37 0
jkryanchou 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	jkryanchou 11 楼好东西呀。非常好。 2013-1-2 09:21 0
xJJuno 雪币： 13218 活跃值： (4276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 12 楼补丁时好用。。。 2013-1-2 09:44 0
freecat 雪币： 196 活跃值： (2197) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 164 粉丝 5 关注私信	freecat 1 13 楼不错学习一下了 2013-1-2 23:57 0
wtwang 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wtwang 14 楼这个看着不错。。。研究一下 2013-1-3 00:28 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 15 楼 DLL HIJACK MARK, THX FOR SHARE IT! 2013-1-3 18:07 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 16 楼注册表改一下就hijack不起了 2013-1-3 23:52 0
lifeless 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	lifeless 17 楼学习。似乎很高深。 2013-1-4 00:08 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 18 楼 dll劫持，不错 2013-1-4 09:07 0
阳光code 雪币： 652 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 0 关注私信	阳光code 19 楼看完了，不错的想法。xspy的这个例子很实用。 2013-1-4 09:55 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 20 楼上来膜拜kj大牛 2013-1-5 15:31 0
阳光code 雪币： 652 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 0 关注私信	阳光code 21 楼 if (eip == LoadLibraryA) { readstr [esp+4] //这个读取的字符串路径不是dll全路径吗？？？ //默认情况下不是写的都是dll名称，系统自动查找怎么区分是不是劫持。 vAnsi = result strstr vAnsi,":" //通过查找路径里是否有冒号来判断是否是全路径不太明白？？？ // strlen result if (result > 0) { //全路径的不要 continue } //排除掉known dll if (vFilterKnownDlls) { strcmpi "advapi32.dll",vAnsi if ( 0 == result) { continue } } } 求解释 2013-1-5 15:43 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 22 楼感谢分享~~~ 2013-1-8 09:47 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 23 楼 Mark+1～ 2013-1-8 14:56 0
justFWD 雪币： 103 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 66 粉丝 0 关注私信	justFWD 24 楼好像意义不大啊 2013-1-8 15:13 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 25 楼感谢分享。。。 2013-1-9 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xSpy

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 2 楼感谢。分享。 2012-12-31 17:41 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 3 楼非常不错，就是下面的显示有点乱 2012-12-31 17:42 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼来看看，感谢分享 2012-12-31 23:34 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 5 楼关注一下！！！ 2012-12-31 23:43 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 6 楼 LZ发的是基于木马常利用的Hijacking。我刚刚发了一个基于漏洞形式的hijacking。 2013-1-1 00:08 0
linhanshi 雪币： 97697 活跃值： (200799) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27943 粉丝 451 关注私信	linhanshi 7 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，4次下载） 2013-1-1 08:14 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 8 楼感谢共享！！！ 2013-1-1 15:00 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 9 楼谢谢分享。。。 2013-1-1 23:35 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 10 楼好东西，感谢分享。 2013-1-1 23:37 0
jkryanchou 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	jkryanchou 11 楼好东西呀。非常好。 2013-1-2 09:21 0
xJJuno 雪币： 13218 活跃值： (4276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 12 楼补丁时好用。。。 2013-1-2 09:44 0
freecat 雪币： 196 活跃值： (2197) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 164 粉丝 5 关注私信	freecat 1 13 楼不错学习一下了 2013-1-2 23:57 0
wtwang 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wtwang 14 楼这个看着不错。。。研究一下 2013-1-3 00:28 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 15 楼 DLL HIJACK MARK, THX FOR SHARE IT! 2013-1-3 18:07 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 16 楼注册表改一下就hijack不起了 2013-1-3 23:52 0
lifeless 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	lifeless 17 楼学习。似乎很高深。 2013-1-4 00:08 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 18 楼 dll劫持，不错 2013-1-4 09:07 0
阳光code 雪币： 652 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 0 关注私信	阳光code 19 楼看完了，不错的想法。xspy的这个例子很实用。 2013-1-4 09:55 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 20 楼上来膜拜kj大牛 2013-1-5 15:31 0
阳光code 雪币： 652 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 0 关注私信	阳光code 21 楼 if (eip == LoadLibraryA) { readstr [esp+4] //这个读取的字符串路径不是dll全路径吗？？？ //默认情况下不是写的都是dll名称，系统自动查找怎么区分是不是劫持。 vAnsi = result strstr vAnsi,":" //通过查找路径里是否有冒号来判断是否是全路径不太明白？？？ // strlen result if (result > 0) { //全路径的不要 continue } //排除掉known dll if (vFilterKnownDlls) { strcmpi "advapi32.dll",vAnsi if ( 0 == result) { continue } } } 求解释 2013-1-5 15:43 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 22 楼感谢分享~~~ 2013-1-8 09:47 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 23 楼 Mark+1～ 2013-1-8 14:56 0
justFWD 雪币： 103 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 66 粉丝 0 关注私信	justFWD 24 楼好像意义不大啊 2013-1-8 15:13 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 25 楼感谢分享。。。 2013-1-9 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复