DLL-fil for å kapre er et angrep som gjør programmer legg skadelig dynamisk kobling biblioteker i stedet for den tiltenkte — ren og legit — bibliotek på et Windows-system.
Programmer som ikke angi stier til biblioteker er sårbare for DLL kapre som Windows bruker en prioritet basert søk for i dette tilfellet å laste biblioteker.
Hvis angripere klarer å plassere skadelig biblioteker i en posisjon med en høy prioritet, og det vil bli lagt ved søknaden.
Brukere kan ikke virkelig gjøre noe med dette, så det er ikke klart om banene er satt riktig eller ikke i programmer som de kjører på systemet. Det er opp til programmerere til å sørge for at banene er satt i programmer før de blir frigitt til allmennheten.
Som en sluttbruker, kan du bruke et program som Dll Kapre Oppdage for å skanne datamaskinen system for potensielle kaprer.
Programmet identifiserer alle Dll-filer som er lagt ved prosesser som kjører på systemet. Det kontrollerer alle bibliotek steder hvor skadelige filer kan bli plassert, og søker i tillegg om en ladd bibliotek vises flere ganger i søk for, avgjør hvilket bibliotek for øyeblikket er lastet inn, og varsler deg hvis kaprer er mulig.
Ikke alle finner indikerer at noe er galt. Eksemplene ovenfor for eksempel er ren, selv om bibliotekene har blitt funnet på flere steder i systemet.
Programmet støtter et flagg for å ignorere signert Dll-filer som reduserer produksjonen betydelig.
DLL Kapre Oppdage er en kommandolinje verktøyet.
- Last ned 32-biters eller 64-biters versjon av programmet fra den sammenkoblede ressurs ovenfor.
- Pakk den ut til et sted i systemet.
- Trykk på Windows-tasten, type cmd.exe, høyreklikk resultat, og velg kjør som administrator for å åpne en hevet ledetekst.
- Naviger til plasseringen der du har plassert programmet i.
- Kjøre dll_hijack_detect_x64.exe eller dll_hijack_detect_x32.exe uten parametere for å skanne systemet.
- Hvis du vil, legge til /usignert til det å bare flagg Dll-filer hvis minst en av dem er signert.
Alt som er igjen å gjøre er å gå gjennom rapporten, en etter en for å finne ut om Filene er kapret på systemet.
Tips: Legg til > c:output.txt kommandoen for å lagre informasjon i filen output.txt på systemet. Det kan være lettere å gå gjennom en tekstfil enn kommandolinje-vindu.
Merk: Du må kanskje installere Visual C++ Redistributable Pakker for Visual Studio 2013 for å kjøre programmet.
Ytterligere informasjon om programmet er tilgjengelig på Sans nettstedet.