Robber

Robber adalah alat open source gratis yang dikembangkan menggunakan Delphi XE2 tanpa dependensi pihak ketiga.

• Dalam versi 1.7 perampok tidak memerlukan hak administrator secara default karena fitur pemeriksaan izin menulis baru, jadi jika Anda ingin memindai di suatu tempat seperti 'ProgramFiles' Anda perlu menjalankan perampok dengan hak admin.

Apa itu pembajakan DLL?!

Windows memiliki jalur pencarian untuk DLL dalam arsitektur yang mendasarinya. Jika Anda dapat mengetahui DLL apa permintaan yang dapat dieksekusi tanpa jalur absolut (memicu proses pencarian ini), Anda kemudian dapat menempatkan DLL yang bermusuhan di suatu tempat di atas jalur pencarian sehingga akan ditemukan sebelum versi sebenarnya adalah, dan Windows akan dengan senang hati memberi makan kode serangan Anda ke aplikasi.

Jadi, mari kita berpura -pura jalur pencarian DLL Windows terlihat seperti ini:

A) . <- Direktori Kerja Saat Ini dari Prioritas yang Dapat Dieksekusi, Tertinggi, Pemeriksaan Pertama

B) Windows

C) Windows System32

D) Windows Syswow64 <- Prioritas Terendah, Pemeriksaan Terakhir

dan beberapa permintaan "foo.exe" yang dapat dieksekusi "bar.dll", yang kebetulan tinggal di subdir Syswow64 (d). Ini memberi Anda kesempatan untuk menempatkan versi jahat Anda dalam a), b) atau c) dan itu akan dimuat ke dalam dieksekusi.

Seperti yang dinyatakan sebelumnya, bahkan jalur penuh absolut tidak dapat melindungi dari ini, jika Anda dapat mengganti DLL dengan versi Anda sendiri.

Microsoft Windows Protect Pathes Sistem Seperti System32 Menggunakan Mekanisme Perlindungan File Windows Tetapi Cara Terbaik Untuk Melindungi Yang Dapat Dieksekusi dari Pembajakan DLL dalam Solusi Entrprise adalah:

• Gunakan jalur absolut, bukan jalur relatif
• Jika Anda memiliki tanda pribadi, tanda tangani file DLL Anda dan periksa tanda di aplikasi Anda sebelum memuat DLL ke dalam memori. Jika tidak, periksa file hash dari DLL dengan hash DLL asli)

Dan tentu saja, ini juga tidak terbatas pada Windows. OS apa pun yang memungkinkan untuk menghubungkan dinamis perpustakaan eksternal secara teoritis rentan terhadap hal ini.

Perampok menggunakan mekanisme sederhana untuk mengetahui DLL yang rentan terhadap pembajakan:

1. Pindai tabel impor yang dapat dieksekusi dan cari tahu DLL yang ditautkan ke Executable
2. Cari file DLL yang ditempatkan di dalam executable yang cocok dengan DLL tertaut (seperti yang saya katakan sebelum direktori kerja saat ini dari executable memiliki prioritas tertinggi)
3. Jika ada DLL ditemukan, pindai tabel ekspor tema
4. Bandingkan tabel impor yang dapat dieksekusi dengan tabel ekspor DLL dan jika ada pencocokan yang ditemukan, bendera fungsi umum yang dapat dieksekusi dan cocok sebagai kandidat pembajakan DLL.

Feauters:

• Kemampuan untuk memilih jenis pemindaian (aplikasi yang ditandatangani/tidak ditandatangani)
• Tentukan penandatangan yang dapat dieksekusi
• Tentukan kandidat DLL yang direferensikan untuk pembajakan
• Tentukan nama metode yang diekspor dari DLL kandidat
• Konfigurasikan aturan untuk menentukan pembajakan mana yang terbaik atau pilihan yang baik untuk digunakan dan menampilkan tema dalam berbagai warna
• Kemampuan untuk memeriksa izin menulis dari direktori yang dapat dieksekusi yang merupakan kandidat yang baik untuk pembajakan

Cari tahu perampok terbaru yang dapat dieksekusi di sini