Robber

強盜是使用Delphi XE2開發的免費開源工具，而無需任何第三方依賴。

• 在版本1.7中，強盜不需要默認情況下的管理員權限，因為新的寫入許可檢查功能，因此，如果您想在“ ProgramFiles”之類的地方掃描，則需要運行具有Admin權利的強盜。

什麼是DLL劫持？ ！

Windows在其基礎體系結構中對DLL有搜索路徑。如果您可以在沒有絕對路徑的情況下（觸發此搜索過程）弄清楚什麼是可執行的請求，則可以將敵對的dll放置在搜索路徑上方的某個位置，以便在真實版本為之前就可以找到它，並且Windows將使您的攻擊代碼將您的攻擊代碼饋送到應用程序。

因此，讓我們假裝Windows的DLL搜索路徑看起來像這樣：

a）。 < - 可執行，最高優先級的當前工作目錄，首先檢查

b） Windows

C） Windows System32

D） Windows Syswow64 < - 最低優先級，上次檢查

以及一些可執行的“ foo.exe”請求“ bar.dll”，恰好生活在Syswow64（d）subdir中。這使您有機會將惡意版本放置在a），b）或c）中，並將其加載到可執行文件中。

如前所述，如果您可以用自己的版本替換DLL，即使是絕對的完整路徑也無法防止這種情況。

Microsoft Windows保護系統路徑（例如System32）使用Windows文件保護機制，但保護可執行操作免受熵解決方案中的DLL劫持的最佳方法是：

• 使用絕對路徑而不是相對路徑
• 如果您有個人符號，請簽署DLL文件，然後在將DLL加載到內存之前檢查應用程序中的登錄。否則，使用原始DLL哈希檢查DLL文件的哈希）

當然，這也不僅限於Windows。任何允許外部庫的動態鏈接的操作系統在理論上很容易受到影響。

強盜使用簡單的機制來找出容易被劫持的DLL：

1. 掃描導入表的可執行表，並找出鏈接到可執行文件的DLL
2. 搜索放置在可執行文件中的DLL文件與鏈接的DLL匹配（正如我所說的那樣，可執行文件的當前工作目錄具有最高優先級）
3. 如果發現任何DLL，請掃描主題的導出表
4. 將可執行文件的導入表與DLL的導出表進行比較，如果找到了任何匹配表，則可以作為DLL HISJACK候選人的可執行和匹配的通用函數標誌。

feauters：

• 能夠選擇掃描類型（簽名/未簽名應用程序）
• 確定可執行簽名者
• 確定引用的DLL候選人劫持
• 確定候選DLL的導出方法名稱
• 配置規則以確定哪些劫持最佳或不錯的選擇和以不同顏色顯示主題
• 能夠查看可執行目錄的寫入許可，這是劫持的好候選人

在此處查找最新的強盜