DLL hijacking è un attacco che rende il caricamento delle applicazioni malevoli librerie a collegamento dinamico anziché il previsto — pulito e legit — libreria di sistema di Windows.
I programmi che non specificare i percorsi delle librerie sono vulnerabili alla DLL hijacking come Windows utilizza un livello di priorità in base all’ordine di ricerca, in questo caso, caricare le librerie.
Se gli attaccanti riescono a posto dannoso librerie in una posizione con una priorità alta, allora sarà caricato dall’applicazione.
Gli utenti non possono davvero fare qualcosa su questo, come non è chiaro se i percorsi sono impostati correttamente o non in applicazioni che sono in esecuzione sul sistema. Spetta ai programmatori per rendere sicuri i percorsi sono impostati correttamente in programmi prima che vengano rilasciati al pubblico.
Come utente finale, è possibile utilizzare un programma come Dll Dirottare Rilevare la scansione del sistema per potenziali dirotta.
Il programma identifica tutte le Dll caricate dai processi in esecuzione sul sistema. Esso controlla tutte le posizioni della biblioteca dove i file dannosi potrebbe essere collocato e controlla inoltre se una libreria caricata appare più volte in ordine di ricerca, determina che la biblioteca è attualmente caricato e ti avvisa se dirotta sono possibili.
Non tutti trovano indica che qualcosa è sbagliato. Gli esempi di cui sopra, per esempio, sono pulite anche se le librerie sono stati trovati in più posizioni sul sistema.
Il programma supporta una bandiera di ignorare firmato Dll, che riduce l’output in modo significativo.
DLL Dirottare Rilevare è uno strumento a riga di comando.
- Scaricare la versione a 32-bit o 64-bit versione del programma da risorsa collegata sopra.
- Estrarre la posizione sul tuo sistema.
- Toccare il tasto di Windows, tipo cmd.exe fare clic con il risultato e selezionare esegui come amministratore per aprire un prompt dei comandi.
- Passare alla posizione in cui hai messo il programma.
- Eseguire dll_hijack_detect_x64.exe o dll_hijack_detect_x32.exe senza parametri per eseguire la scansione del sistema.
- Se lo si desidera, aggiungere /unsigned per il flag di sola Dll se almeno uno di essi è senza segno.
Tutto ciò che resta da fare è di passare attraverso il rapporto uno a uno per determinare se le Dll vengono dirottati sul tuo sistema.
Suggerimento: Aggiungere > c:output.txt il comando per salvare le informazioni del file output.txt sul tuo sistema. Può essere più facile passare attraverso un file di testo che la finestra della riga di comando.
Nota: potrebbe essere necessario installare Visual C++ Redistributable package per Visual Studio 2013 per eseguire il programma.
Ulteriori informazioni sul programma sono disponibili sul Sans sito web.