Robber

Robber는 타사 의존성없이 Delphi XE2를 사용하여 개발 된 무료 오픈 소스 도구입니다.

• 버전 1.7에서 Robber는 새로운 쓰기 권한 점검 기능으로 인해 기본적으로 관리자 권한을 요구하지 않으므로 'Programfiles'와 같은 어딘가에 스캔하려면 관리 권한으로 강도를 실행해야합니다.

DLL 납치 란 무엇입니까?!

Windows에는 기본 아키텍처에서 DLL에 대한 검색 경로가 있습니다. 절대 경로없이 실행 파일 요청 (이 검색 프로세스 트리거)없이 실행 파일 요청이 무엇인지 알아낼 수 있다면, 적대적인 DLL이 검색 경로 위로 더 높은 곳에 놓을 수 있으므로 실제 버전이 있기 전에 찾을 수 있으며 Windows는 공격 코드가 애플리케이션에 공급됩니다.

따라서 Windows의 DLL 검색 경로가 다음과 같은 것 같습니다.

a). <- 실행 파일의 현재 작업 디렉토리, 최고 우선 순위, 첫 번째 점검

b) Windows

c) Windows System32

d) windows syswow64 <- 가장 낮은 우선 순위, 마지막 확인

그리고 일부 실행 파일 "foo.exe"는 syswow64 (d) subdir에 사는 "bar.dll"을 요청합니다. 이를 통해 악의적 인 버전을 a), b) 또는 c)에 배치 할 수있는 기회를 제공하며 실행 파일에로드됩니다.

앞에서 언급했듯이 DLL을 자신의 버전으로 바꿀 수 있다면 절대적인 전체 경로조차도 이로부터 보호 할 수 없습니다.

Microsoft Windows는 Windows 파일 보호 메커니즘을 사용하는 System32와 같은 시스템 경로를 보호하지만 Entprise Solutions에서 DLL 납치품을 보호하는 가장 좋은 방법은 다음과 같습니다.

• 상대 경로 대신 절대 경로를 사용하십시오
• 개인 부호가있는 경우 DLL 파일에 서명하고 응용 프로그램의 부호를 메모리에로드하기 전에 신청서를 확인하십시오. 그렇지 않으면 원래 DLL 해시로 dll 파일의 해시를 확인하십시오)

물론 이것은 창에만 국한되지 않습니다. 외부 라이브러리의 동적 연결을 허용하는 모든 OS는 이론적으로 이에 취약합니다.

강도는 간단한 메커니즘을 사용하여 납치하기 쉬운 DLL을 파악합니다.

1. 실행 파일의 가져 오기 테이블을 스캔하고 실행 파일에 연결된 DLL을 찾으십시오.
2. 링크 된 DLL과 일치하는 실행 파일 내부에 배치 된 DLL 파일 검색 (실행 파일의 현재 작업 디렉토리가 가장 우선 순위가 높습니다)
3. DLL이 발견되면 테마 내보내기 테이블을 스캔하십시오.
4. 실행 파일의 수입 테이블을 DLL의 내보내기 테이블과 비교하고 일치하는 것이 발견되면 실행 파일과 일치하는 공통 함수 플래그는 DLL Hijack 후보로 깃발을 일치시킵니다.

Feauters :

• 스캔 유형을 선택하는 기능 (서명/부호없는 응용 프로그램)
• 실행 가능한 서명자를 결정하십시오
• 하이재킹을위한 Wich 참조 된 DLLS 후보를 결정하십시오
• 후보 DLL의 내보내기 방법 이름을 결정하십시오
• 사용하기에 가장 적합하거나 좋은 선택을 결정하기위한 규칙을 구성하고 다양한 색상으로 테마를 표시합니다.
• 납치를위한 좋은 후보 인 실행 디렉토리의 쓰기 권한을 확인하는 능력

여기에서 최신 강도 실행 파일을 찾으십시오