Robber

Robber - это бесплатный инструмент с открытым исходным кодом, разработанный с использованием Delphi XE2 без каких -либо сторонних зависимостей.

• В версии 1.7 грабитель не требует права администратора по умолчанию из -за новой функции проверки разрешений на запись, поэтому, если вы хотите сканировать где -нибудь, например, «Programfiles», вам нужно запустить грабитель с правами администратора.

Что такое угон DLL?!

Windows имеет путь поиска для DLL в своей базовой архитектуре. Если вы можете выяснить, какие DLL вы исполняют исполняемые запросы без абсолютного пути (запускаете этот процесс поиска), вы можете поместить свой враждебный DLL куда -то выше пути поиска, чтобы он был найден до того, как реальная версия будет, и Windows будет счастлив, подачу ваш код атаки в приложение.

Итак, давайте притворим путь поиска DLL в Windows, выглядит примерно так:

А). <- Текущий рабочий каталог исполняемого, наивысшего приоритета, первая проверка

Б) Windows

C) Windows System32

D) Windows syswow64 <- самый низкий приоритет, последняя проверка

и некоторые исполняемые запросы «foo.exe» «bar.dll», который живет в поддире Syswow64 (d). Это дает вам возможность поместить вашу вредоносную версию в A), B) или C), и она будет загружена в исполняемый файл.

Как указывалось ранее, даже абсолютный полный путь не может защитить от этого, если вы можете заменить DLL своей собственной версией.

Microsoft Windows Protect System Pates, такие как System32, используя механизм защиты файлов Windows, но лучший способ защитить исполняемого файла от угона DLL в Enterprise Solutions:

• Используйте абсолютный путь вместо относительного пути
• Если у вас есть личный знак, подпишите файлы DLL и проверьте знак в вашем приложении перед загрузкой DLL в память. В противном случае проверьте хэш файла DLL с исходным хэшем DLL)

И, конечно, это тоже не ограничивается Windows. Любая ОС, которая позволяет динамическому связыванию внешних библиотек, теоретически уязвима для этого.

Грабитель Используйте простой механизм, чтобы выяснить DLL, которые склонны к угнанию:

1. Таблица импорта сканирования исполняемого файла и выясните DLL, которые связаны с исполняемым файлом
2. Поиск файлов DLL, размещенных внутри исполняемых файлов, которые соответствуют связанным DLL (как я уже говорил до текущего рабочего каталога исполняемого, имеет наивысший приоритет)
3. Если какой -либо DLL найден, сканируйте экспортную таблицу темы
4. Сравните таблицу импорта исполняемого файла с экспортной таблицей DLL, и, если было найдено сопоставление, флаг исполнительных и сопоставленных общих функций в качестве кандидата DLL Khijack.

Feauters:

• Возможность выбирать тип сканирования (подписанные/не знаковые приложения)
• Определите исполняемый подписан
• Определите, когда ссылается кандидат DLLS для захвата
• Определите названия экспортируемых методов кандидата DLL
• Настройте правила, чтобы определить, какие угоны лучше или хороший выбор для использования и показать тему в разных цветах
• Возможность проверить разрешение на записи исполняемого каталога, который является хорошим кандидатом на угон

Узнайте последнего исполняемого для грабителя здесь