Robber

Robber est un outil open source gratuit développé à l'aide de Delphi XE2 sans aucune dépendance tierce.

• Dans la version 1.7, le voleur ne nécessite pas les droits de l'administrateur par défaut en raison de la nouvelle fonctionnalité de vérification de l'autorisation d'écriture, donc si vous souhaitez scanner quelque part comme «ProgramFiles», vous devez exécuter Rabber avec les droits de l'administration.

Qu'est-ce que le détournement de la DLL?!

Windows a un chemin de recherche pour les DLL dans son architecture sous-jacente. Si vous pouvez déterminer ce que DLL un exécutable demande sans un chemin absolu (déclenchant ce processus de recherche), vous pouvez alors placer votre DLL hostile quelque part plus haut sur le chemin de recherche afin qu'elle soit trouvée avant la vraie version, et Windows nourrira votre code d'attaque à l'application.

Alors, prétendons le chemin de recherche de la DLL de Windows ressemble à ceci:

UN) . <- Répertoire de travail actuel de l'exécutable, la plus haute priorité, premier chèque

B) Windows

C) Windows System32

D) Windows Syswow64 <- Priorité la plus basse, dernier chèque

et certains "foo.exe" demandes "Bar.dll" exécutables, qui vivent dans le Syswow64 (D) Subdir. Cela vous donne la possibilité de placer votre version malveillante en a), b) ou c) et elle sera chargée dans l'exécutable.

Comme indiqué précédemment, même un chemin complet absolu ne peut pas se protéger contre cela, si vous pouvez remplacer la DLL par votre propre version.

Microsoft Windows Protect Pathes System comme System32 à l'aide du mécanisme de protection des fichiers Windows, mais la meilleure façon de protéger l'exécutable du détournement de la DLL dans les solutions EntraPrise est:

• Utilisez un chemin absolu au lieu d'un chemin relatif
• Si vous avez un signe personnel, signez vos fichiers DLL et vérifiez le signe de votre application avant de charger la DLL en mémoire. Sinon, vérifiez le hachage du fichier DLL avec le hachage DLL d'origine)

Et bien sûr, ce n'est pas vraiment limité à Windows non plus. Tout système d'exploitation qui permet la liaison dynamique des bibliothèques externes est théoriquement vulnérable à cela.

Le voleur utilise un mécanisme simple pour déterminer les DLL qui suit le détournement:

1. Analyser la table d'importation d'exécutable et découvrir les DLL liées à l'exécutable
2. Recherchez des fichiers DLL placés à l'intérieur de l'exécutable qui correspondent à la DLL liée (comme je l'ai dit avant le répertoire de travail actuel de l'exécutable, a la priorité la plus élevée)
3. En cas de DLL trouvé, scannez le tableau d'exportation du thème
4. Comparez la table d'importation de l'exécutable avec la table d'exportation de DLL et si une correspondance a été trouvée, l'indicateur de fonctions communes exécutable et correspondant en tant que candidat DLL Hijack.

FEAUTERS:

• Possibilité de sélectionner le type de numérisation (applications signées / non signées)
• Déterminer le signataire exécutable
• Déterminer le candidat DLL référencé pour le détournement
• Déterminer les noms de méthodes exportées des DLL candidats
• Configurer les règles pour déterminer quel détournement est le meilleur ou le bon choix pour une utilisation et montrer le thème de différentes couleurs
• Possibilité de vérifier la permission d'écriture du répertoire exécutable qui est un bon candidat pour le détournement

Découvrez le dernier voleur exécutable ici