Robber

Räuber ist ein kostenloses Open -Source -Tool, das mit Delphi XE2 ohne Abhängigkeiten von Drittanbietern entwickelt wurde.

• In Version 1.7 erfordert Räuber keine Administratorrechte aufgrund einer neuen Funktion zur Schreibberechtigung. Wenn Sie also irgendwo wie "Programmdatei" scannen möchten, müssen Sie Räuber mit Administratorrechten ausführen.

Was ist DLL Hijacking?!

Windows hat einen Suchpfad für DLLs in seiner zugrunde liegenden Architektur. Wenn Sie herausfinden können, welche DLLs eine ausführbare Anforderung ohne einen absoluten Pfad (Auslösen dieses Suchvorgangs), können Sie Ihre feindile DLL an einem höheren Suchpfad platzieren, sodass sie gefunden werden, bevor die reale Version ist, und Windows wird Ihren Angriffscode an die Anwendung übertragen.

Lassen Sie uns also so tun, als ob Windows's DLL -Suchpfad so aussieht:

A) . <- aktuelles Arbeitsverzeichnis der ausführbaren Datei, höchste Priorität, Erster Scheck

B) Windows

C) Windows System32

D) Windows Syswow64 <- Niedrigste Priorität, Letzter Scheck

und einige ausführbare "foo.exe" fordert "bar.dll" an, die zufällig in der SUSWOW64 (d) Subdir leben. Dies gibt Ihnen die Möglichkeit, Ihre bösartige Version in a), b) oder c) zu platzieren und sie wird in ausführbare Datei geladen.

Wie bereits erwähnt, kann selbst ein absoluter vollständiger Weg dagegen nicht schützen, wenn Sie die DLL durch Ihre eigene Version ersetzen können.

Microsoft Windows -Schutzsysteme wie System32 unter Verwendung eines Windows -Dateischutzmechanismus, aber der beste Weg, um die ausführbare Datei vor DLL -Hijacking in Entrprise -Lösungen zu schützen, ist:

• Verwenden Sie den absoluten Pfad anstelle des relativen Pfades
• Wenn Sie ein persönliches Zeichen haben, unterschreiben Sie Ihre DLL -Dateien und überprüfen Sie das Zeichen in Ihrer Anwendung, bevor Sie DLL in den Speicher laden. Andernfalls überprüfen Sie den Hash der DLL -Datei mit originalem DLL Hash).

Und natürlich ist dies auch nicht wirklich auf Windows beschränkt. Jedes Betriebssystem, das eine dynamische Verknüpfung externer Bibliotheken ermöglicht, ist dafür theoretisch anfällig.

Räuber Verwenden Sie einen einfachen Mechanismus, um DLLs herauszufinden, die anfällig für Entführungen sind:

1. Scannen Sie die Importtabelle der ausführbaren Datei ab und finden Sie DLLs, die mit ausführbarer Datei verknüpft sind
2. Suchen Sie nach DLL -Dateien, die in ausführbare Dateien platziert sind, die mit der verknüpften DLL übereinstimmen (wie ich sagte, vor dem aktuellen Arbeitsverzeichnis der ausführbaren Datei hat die höchste Priorität).
3. Wenn eine DLL gefunden wird, scannen Sie die Exporttabelle des Themas
4. Vergleichen Sie die Importtabelle der ausführbaren Datei mit Exporttabelle von DLL und wenn eine Übereinstimmung gefunden wurde, wird die ausführbare und übereinstimmende Flagge der gemeinsamen Funktionen als DLL -Hijack -Kandidat angepasst.

Greppern:

• Fähigkeit zur Auswahl des Scantyps (signierte/nicht signierte Anwendungen)
• Ausführbare Signator bestimmen
• Bestimmen Sie, in dem der Kandidat des DLLS -Kandidaten für die Entführung verwiesen wurde
• Bestimmen Sie die exportierten Methodennamen von Kandidaten -DLLs
• Konfigurieren Sie Regeln, um zu bestimmen, welche Hijacks die beste oder gute Wahl für die Verwendung sind, und zeigen Sie das Thema in verschiedenen Farben an
• Fähigkeit, die Schreibberechtigung eines ausführbaren Verzeichnisses zu überprüfen, der ein guter Kandidat für die Entführung ist

Hier finden Sie den neuesten Räuber, der hier ausführte