Robber

Robber es una herramienta de código abierto gratuita desarrollada con Delphi XE2 sin dependencias de terceros.

• En la versión 1.7, Robber no requiere los derechos de administrador de forma predeterminada debido a la nueva función de verificación de permiso de escritura, por lo que si desea escanear en algún lugar como 'Programfiles', debe ejecutar robador con los derechos de administrador.

¿Qué es el secuestro de DLL?!

Windows tiene una ruta de búsqueda de DLL en su arquitectura subyacente. Si puede averiguar qué DLLS una solicitud ejecutable sin una ruta absoluta (activando este proceso de búsqueda), puede colocar su DLL hostil en algún lugar más alto en la ruta de búsqueda para que se encontrará antes de que la versión real sea, y Windows alimentará su código de ataque a la aplicación.

Entonces, fingamos que la ruta de búsqueda de DLL de Windows se parece a esto:

A) . <- Directorio de trabajo actual del ejecutable, más alta prioridad, primera verificación

B) Windows

C) Windows System32

D) Windows syswow64 <- Prioridad más baja, Última verificación

y algunos ejecutables "foo.exe" solicitudes "bar.dll", que vive en el subdir syswow64 (d). Esto le brinda la oportunidad de colocar su versión maliciosa en a), b) o c) y se cargará en ejecutable.

Como se indicó anteriormente, incluso un camino completo absoluto no puede proteger contra esto, si puede reemplazar la DLL con su propia versión.

Microsoft Windows Protege System Patas como System32 utilizando el mecanismo de protección de archivos de Windows, pero la mejor manera de proteger el ejecutable del secuestro de DLL en soluciones de Entramación es:

• Use la ruta absoluta en lugar de la ruta relativa
• Si tiene un signo personal, firme sus archivos DLL y verifique el inicio de sesión en su aplicación antes de cargar DLL en la memoria. De lo contrario, verifique el hash del archivo DLL con el hash DLL original)

Y, por supuesto, esto tampoco se limita a Windows. Cualquier sistema operativo que permita la vinculación dinámica de bibliotecas externas es teóricamente vulnerable a esto.

El ladrón usa un mecanismo simple para descubrir DLLS que son propensos al secuestro:

1. Escanear la tabla de importación de ejecutables y conocer dlls que se vinculan al ejecutable
2. Busque archivos DLL colocados dentro del ejecutable que coincida con la DLL vinculada (como dije antes de que el directorio de trabajo actual del ejecutable tenga más alta prioridad)
3. Si se encuentra alguna DLL, escanee la tabla de exportación del tema
4. Compare la tabla de importación de ejecutable con la tabla de exportación de DLL y si se encontró una coincidencia, el corredor de funciones comunes ejecutables y emparejadas como candidato de secuencia DLL.

Feauters:

• Capacidad para seleccionar el tipo de escaneo (aplicaciones firmadas/sin firmar)
• Determinar firmante ejecutable
• Determinar el candidato de DLLS para secuestrar DLLS
• Determinar los nombres de métodos exportados de los DLL candidatos
• Configurar reglas para determinar qué secuestros son las mejores o una buena opción para usar y mostrar tema en diferentes colores
• Capacidad para verificar el permiso de escritura del directorio ejecutable que es un buen candidato para el secuestro

Descubra el último ejecutable de ladrones aquí