Robber

强盗是使用Delphi XE2开发的免费开源工具，而无需任何第三方依赖。

• 在版本1.7中，强盗不需要默认情况下的管理员权限，因为新的写入许可检查功能，因此，如果您想在“ ProgramFiles”之类的地方扫描，则需要运行具有Admin权利的强盗。

什么是DLL劫持？！

Windows在其基础体系结构中对DLL有搜索路径。如果您可以在没有绝对路径的情况下（触发此搜索过程）弄清楚什么是可执行的请求，则可以将敌对的dll放置在搜索路径上方的某个位置，以便在真实版本为之前就可以找到它，并且Windows将使您的攻击代码将您的攻击代码馈送到应用程序。

因此，让我们假装Windows的DLL搜索路径看起来像这样：

a）。 < - 可执行，最高优先级的当前工作目录，首先检查

b） Windows

C） Windows System32

D） Windows Syswow64 < - 最低优先级，上次检查

以及一些可执行的“ foo.exe”请求“ bar.dll”，恰好生活在Syswow64（d）subdir中。这使您有机会将恶意版本放置在a），b）或c）中，并将其加载到可执行文件中。

如前所述，如果您可以用自己的版本替换DLL，即使是绝对的完整路径也无法防止这种情况。

Microsoft Windows保护系统路径（例如System32）使用Windows文件保护机制，但保护可执行操作免受熵解决方案中的DLL劫持的最佳方法是：

• 使用绝对路径而不是相对路径
• 如果您有个人符号，请签署DLL文件，然后在将DLL加载到内存之前检查应用程序中的登录。否则，使用原始DLL哈希检查DLL文件的哈希）

当然，这也不仅限于Windows。任何允许外部库的动态链接的操作系统在理论上很容易受到影响。

强盗使用简单的机制来找出容易被劫持的DLL：

1. 扫描导入表的可执行表，并找出链接到可执行文件的DLL
2. 搜索放置在可执行文件中的DLL文件与链接的DLL匹配（正如我所说的那样，可执行文件的当前工作目录具有最高优先级）
3. 如果发现任何DLL，请扫描主题的导出表
4. 将可执行文件的导入表与DLL的导出表进行比较，如果找到了任何匹配表，则可以作为DLL HISJACK候选人的可执行和匹配的通用函数标志。

feauters：

• 能够选择扫描类型（签名/未签名应用程序）
• 确定可执行签名者
• 确定引用的DLL候选人劫持
• 确定候选DLL的导出方法名称
• 配置规则以确定哪些劫持最佳或不错的选择和以不同颜色显示主题
• 能够查看可执行目录的写入许可，这是劫持的好候选人

在此处查找最新的强盗