หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดเดลฟี
ดาวน์โหลด

โจรปล้น

Robber เป็นเครื่องมือโอเพ่นซอร์สฟรีที่พัฒนาขึ้นโดยใช้ Delphi XE2 โดยไม่ต้องพึ่งพาบุคคลที่สาม

  • ในเวอร์ชัน 1.7 Robber ไม่จำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบโดยค่าเริ่มต้นเนื่องจากคุณสมบัติการตรวจสอบการอนุญาตการเขียนใหม่ดังนั้นหากคุณต้องการสแกนที่ไหนสักแห่งเช่น 'ProgramFiles' คุณต้องเรียกใช้ ROBBER ด้วยสิทธิ์ของผู้ดูแลระบบ

การจี้ DLL คืออะไร!

Windows มีเส้นทางการค้นหาสำหรับ DLL ในสถาปัตยกรรมพื้นฐาน หากคุณสามารถทราบได้ว่า DLLS คำขอที่ปฏิบัติการได้โดยไม่ต้องใช้เส้นทางที่แน่นอน (เรียกกระบวนการค้นหานี้) จากนั้นคุณสามารถวาง DLL ที่เป็นมิตรของคุณได้ที่ไหนสักแห่งที่สูงขึ้นไปตามเส้นทางการค้นหาดังนั้นมันจะพบได้ก่อนที่เวอร์ชันจริงจะเป็นและ Windows จะป้อนรหัสการโจมตีของคุณไปยังแอปพลิเคชัน

ดังนั้นมาแกล้งทำเป็นเส้นทางการค้นหา DLL ของ Windows มีลักษณะเช่นนี้:

a). <- ไดเรกทอรีการทำงานปัจจุบันของการดำเนินการที่มีความสำคัญสูงสุด, ตรวจสอบก่อน

b) windows

c) windows system32

d) windows syswow64 <- ลำดับความสำคัญต่ำสุดตรวจสอบล่าสุด

และบางคนเรียกร้อง "foo.exe" ร้องขอ "bar.dll" ซึ่งเกิดขึ้นกับการอาศัยอยู่ใน syswow64 (d) subdir สิ่งนี้เปิดโอกาสให้คุณวางเวอร์ชันที่เป็นอันตรายของคุณใน A), b) หรือ c) และจะโหลดลงในการปฏิบัติการ

ตามที่ระบุไว้ก่อนหน้านี้แม้แต่เส้นทางเต็มรูปแบบที่แน่นอนก็ไม่สามารถป้องกันสิ่งนี้ได้หากคุณสามารถแทนที่ DLL ด้วยเวอร์ชันของคุณเอง

Microsoft Windows Protect Pathes ระบบเช่น System32 การใช้กลไกการป้องกันไฟล์ Windows แต่วิธีที่ดีที่สุดในการป้องกันการทำงานจากการจี้ DLL ในโซลูชั่น Entprise คือ:

  • ใช้เส้นทางสัมบูรณ์แทนเส้นทางสัมพัทธ์
  • หากคุณมีเครื่องหมายส่วนตัวลงชื่อเข้าใช้ไฟล์ DLL ของคุณและตรวจสอบเครื่องหมายในแอปพลิเคชันของคุณก่อนที่จะโหลด DLL ลงในหน่วยความจำ มิฉะนั้นตรวจสอบไฟล์แฮชของ DLL ด้วยแฮช DLL ดั้งเดิม)

และแน่นอนว่านี่ไม่ได้ จำกัด อยู่ที่ Windows เช่นกัน ระบบปฏิบัติการใด ๆ ที่อนุญาตให้เชื่อมโยงไดนามิกของไลบรารีภายนอกมีความเสี่ยงทางทฤษฎีในทางทฤษฎี

Robber ใช้กลไกง่ายๆในการหา DLL ที่มีแนวโน้มที่จะจี้:

  1. สแกนตารางนำเข้าของปฏิบัติการและค้นหา DLL ที่เชื่อมโยงกับการเรียกใช้งาน
  2. ค้นหาไฟล์ DLL ที่อยู่ภายในการเรียกใช้งานที่ตรงกับ DLL ที่เชื่อมโยง (อย่างที่ฉันพูดก่อนที่ไดเรกทอรีการทำงานปัจจุบันของการปฏิบัติการจะมีลำดับความสำคัญสูงสุด)
  3. หากพบ DLL ใด ๆ ให้สแกนตารางการส่งออกของธีม
  4. เปรียบเทียบการนำเข้าตารางการดำเนินการกับตารางการส่งออกของ DLL และหากพบการจับคู่ใด ๆ การเรียกใช้งานฟังก์ชั่นทั่วไปที่สามารถเรียกใช้งานได้

feauter:

  • ความสามารถในการเลือกประเภทสแกน (แอปพลิเคชันที่ลงนาม/ไม่ได้ลงนาม)
  • กำหนดผู้ลงนาม
  • กำหนดผู้สมัคร DLLS ที่อ้างอิงสำหรับการจี้
  • กำหนดชื่อวิธีการส่งออกของ DLLS ผู้สมัคร
  • กำหนดค่ากฎเพื่อกำหนดว่าการจี้ที่ดีที่สุดหรือดีที่สุดสำหรับการใช้งานและแสดงธีมในสีที่แตกต่างกัน
  • ความสามารถในการตรวจสอบการอนุญาตการเขียนของไดเรกทอรีที่ใช้งานได้ซึ่งเป็นตัวเลือกที่ดีสำหรับการจี้

ค้นหา Robber ล่าสุดที่ได้รับที่นี่

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด