首页 > 在线阅读 > 密界寻踪 > 分析一个DLL劫持下载者

分析一个DLL劫持下载者

评论等级:★★★★★ 浏览次数:0 次 更新时间:2014-04-09 18:22:20 贡献者:admin


下载本文档需要登录,并付出相应积分。

大小:244.4KB

所需积分:0 点

资 料上传

资料简介
抓到一个DLL劫持下载者的样本,正好学习一下,来一步一步分析一下其实现过程。
DLL劫持技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。  由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。