Robber

ROBBERは、サードパーティの依存関係なしでDelphi XE2を使用して開発された無料のオープンソースツールです。

• バージョン1.7では、強盗は新しい書き込み許可チェック機能のためにデフォルトで管理者の権利を必要としません。したがって、「プログラムファイル」のような場所をスキャンしたい場合は、管理者の権利を持って強盗を実行する必要があります。

DLLハイジャックとは何ですか？！

Windowsには、基礎となるアーキテクチャにDLLの検索パスがあります。絶対的なパスなしで実行可能リクエストをDLLs（この検索プロセスをトリガーする）を把握できる場合は、敵対的なDLLを検索パスのどこかに配置して、実際のバージョンの前に見つけることができます。

それでは、WindowsのDLL検索パスのふりをしてみましょう。

a）。 < - 実行可能ファイルの現在の作業ディレクトリ、最優先事項、最初のチェック

b） Windows

c） windows system32

d） windows syswow64 < - 最低の優先度、最後のチェック

そして、いくつかの実行可能な「foo.exe」要求「bar.dll」は、たまたまsyswow64（d）subdirに住んでいます。これにより、悪意のあるバージョンをa）、b）、またはc）に配置する機会が得られ、実行可能ファイルにロードされます。

前に述べたように、DLLを独自のバージョンに置き換えることができれば、絶対的なフルパスでさえこれに対して保護できません。

Microsoft Windowsは、Windowsファイル保護メカニズムを使用してSystem32のようなシステムパスを保護しますが、Entrprise SolutionsでのDLLハイジャックから実行可能ファイルを保護する最良の方法は次のとおりです。

• 相対パスの代わりに絶対パスを使用します
• 個人的なサインがある場合は、DLLファイルに署名し、DLLをメモリにロードする前にアプリケーションのサインを確認してください。それ以外の場合は、元のDLLハッシュでDLLファイルのハッシュを確認してください）

そしてもちろん、これもWindowsに限定されていません。外部ライブラリの動的リンクを可能にするOSは、理論的にこれに対して脆弱です。

強盗は簡単なメカニズムを使用して、ハイジャックする傾向があるDLLを把握します。

1. 実行可能ファイルのインポートテーブルをスキャンし、実行可能ファイルにリンクしたDLLを見つけます
2. リンクされたDLLと一致する実行可能ファイル内に配置されたDLLファイルを検索します（実行可能ファイルの現在の作業ディレクトリが最優先事項の前に言ったように）
3. DLLが見つかった場合は、テーマのエクスポートテーブルをスキャンします
4. 実行可能ファイルのインポートテーブルをDLLのエクスポートテーブルと比較し、一致した場合、実行可能ファイルとマッチングされた一般的な関数フラグは、DLLハイジャック候補としてフラグを立てます。

Feauters：

• スキャンタイプを選択する機能（署名/署名されていないアプリケーション）
• 実行可能な署名者を決定します
• ハイジャックのために参照されたDLLS候補を決定します
• 候補DLLのエクスポートされたメソッド名を決定します
• ルールを構成して、どのハイジャックが使用するのに最適か良い選択かを決定し、さまざまな色でテーマを表示します
• ハイジャックの良い候補者である実行可能なディレクトリの書き込み許可を確認する機能

ここで最新の強盗実行可能ファイルをご覧ください