DLL-hijacking er et angreb, der gør ondsindede programmer indlæses dynamisk link biblioteker i stedet for den tilsigtede — ren og sikker — bibliotek på et Windows-system.
Programmer, der ikke angiver veje til biblioteker er sårbare over for DLL-hijacking, som Windows bruger en prioritet baseret søgning, for i dette tilfælde at indlæse biblioteker.
Hvis hackere formår at placere skadelig biblioteker på et sted med en høj prioritet, så vil det være indlæst af ansøgningen.
Brugerne kan ikke virkelig gøre noget ved dette, da det ikke er klart, hvis stierne er indstillet korrekt eller ikke i programmer, som de kører på systemet. Det er op til programmører til at sørge for, stier er sat korrekt i de programmer, før de bliver frigivet til offentligheden.
Som en slutbruger, kan du bruge et program som Dll Kapre Opdage at scanne computeren system for potentielle flykapringer.
Programmet identificerer alle Dll ‘ er indlæst af kørende processer på systemet. Det inspicerer alle bibliotek steder, hvor ondsindede filer kan placeres, og kontrollerer desuden, hvis en indlæst bibliotek optræder flere gange i jagten rækkefølge, bestemmer, hvilket bibliotek, der aktuelt er indlæst, og advarer dig, hvis kaprer er muligt.
Ikke alle finde ud af, indikerer, at noget er galt. De ovenstående eksempler, for eksempel er rene, selv om biblioteker, der er blevet fundet flere steder på systemet.
Programmet understøtter et flag for at ignorere underskrevet Dll-filer, der reducerer produktionen væsentligt.
DLL Kapre Registrere, er en kommando-linje værktøj.
- Hent 32-bit eller 64-bit version af programmet fra den sammenkædede ressource ovenfor.
- Udtrække den til en placering på dit system.
- Tryk på Windows-tasten, type cmd.exe højre-klik på resultatet og vælg kør som administrator for at åbne en kommandoprompt.
- Naviger til den placering, hvor du har lagt programmet.
- Kører dll_hijack_detect_x64.exe eller dll_hijack_detect_x32.exe uden parametre for at scanne systemet.
- Hvis du ønsker, tilføj /unsigned at det kun flag Dll-filer, hvis mindst én af dem er usigneret.
Alt der er tilbage at gøre er at gå gennem den rapport, der én efter én for at afgøre, om Dll-filer er kapret på dit system.
Tip: Tilføj > c:output.txt til kommandoen til at gemme oplysninger til filen output.txt på dit system. Det kan være lettere at gå gennem en tekst fil, end den kommando vinduet.
Bemærk: Du er muligvis nødt til at installere Visual C++ Redistributable Pakker til Visual Studio 2013 til at køre programmet.
Yderligere oplysninger om programmet findes på Sans hjemmeside.