Robber

O ladrão é uma ferramenta de código aberto gratuito desenvolvido usando o Delphi Xe2 sem dependências de terceiros.

• Na versão 1.7, o ladrão não requer direitos de administrador por padrão por causa do novo recurso de verificação de permissão de gravação; portanto, se você deseja digitalizar em algum lugar como 'programas de programa', precisará executar ladrão com direitos de administrador.

O que é DLL seqüestro?!

O Windows possui um caminho de pesquisa para DLLs em sua arquitetura subjacente. Se você puder descobrir quais DLLs uma solicitações executáveis sem um caminho absoluto (acionando esse processo de pesquisa), você pode colocar sua DLL hostil em algum lugar mais alto no caminho de pesquisa para que seja encontrado antes da versão real e o Windows Happilly alimentará seu código de ataque para o aplicativo.

Então, vamos fingir que o caminho de pesquisa de DLL do Windows se parece mais disso:

A). <- Diretório de trabalho atual da prioridade executável, mais alta, primeiro cheque

B) Windows

C) Windows System32

D) windows syswow64 <- menor prioridade, última verificação

e algumas solicitações executáveis "foo.exe" bar.dll ", que moram no Syswow64 (d) Subdir. Isso oferece a oportunidade de colocar sua versão maliciosa em a), b) ou c) e será carregada em executável.

Como afirmado anteriormente, mesmo um caminho completo absoluto não pode proteger contra isso, se você puder substituir a DLL por sua própria versão.

Microsoft Windows Protect System Pathes como System32 usando o Mecanismo de Proteção de Arquivos do Windows, mas a melhor maneira de proteger o executável do seqüestro de DLL nas soluções Entrprise é:

• Use caminho absoluto em vez de caminho relativo
• Se você tiver sinal pessoal, assine seus arquivos DLL e verifique o sinal no seu aplicativo antes de carregar a DLL na memória. Caso contrário, verifique o arquivo hash of dll com hash dll original)

E, é claro, isso também não se limita ao Windows. Qualquer sistema operacional que permita a ligação dinâmica de bibliotecas externas é teoricamente vulnerável a isso.

Ladrão usa mecanismo simples para descobrir DLLs que propensos a seqüestrar:

1. Declare a tabela de importação de executáveis e descubra DLLs que vinculam -se ao executável
2. Pesquise arquivos DLL colocados dentro do executável que correspondam com a DLL vinculada (como eu disse antes do atual diretório de trabalho do executável, tem maior prioridade)
3. Se alguma dll encontrou, digitalize a tabela de tema de exportação
4. Compare a tabela de importação do executável com a tabela de exportação da DLL e, se alguma correspondência foi encontrada, o sinalizador de funções comuns executáveis e correspondentes como candidato a sequestrar DLL.

Feauters:

• Capacidade de selecionar o tipo de verificação (aplicativos assinados/não assinados)
• Determinar o assinante executável
• Determine o que referenciou o candidato de DLLs para seqüestro
• Determinar nomes de métodos exportados de dlls candidatos
• Configurar regras para determinar quais seqüestros é a melhor ou boa escolha para uso e mostrar o tema em cores diferentes
• Capacidade de verificar a permissão de gravação do diretório executável que é um bom candidato para sequestrar

Descubra o último ladrão executável aqui