zoukankan      html  css  js  c++  java
  • 可被劫持的DLL判断

    可被劫持的DLL判断

    在尝试劫持一些DLL时发现存在很多问题,经过测试一个可以被劫持的DLL有如下特征:

    1)不存在windows系统保护。

      其不在 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs] 注册表中。

      

     

    2) 其dll是EXE程序首先加载的DLL,而不是依赖其他DLL加载的。(可以通过PE查看器查看)

      打个比方,比如A.exe加载B.dll,然后B.dll加载C.dll,此时你如果劫持C.dll,生成伪C.dll放在A.exe目录下,其C.dll加载时根据B.dll加载,这样你劫持无效。

    3)该DLL确实被加载进内存中

      通过PE查看器,你发现有被加载的DLL,但当你查看进程内存时却发现并没有该DLL(可能被卸载),如果你想劫持该DLL,可能无效。

    这知识单纯讨论最原始的DLL劫持条件,不存在对抗,如果劫持的DLL都不满足这几种条件,可以尝试远线程注入或直接修改PE文件来加载DLL。

      

  • 相关阅读:
    归并排序
    希尔排序
    字符串操作
    引用
    直接插入排序
    变量赋值
    C#中关于公共类的使用
    关于SQL中Between语句查询日期的问题
    用户控件 与 重写控件 的区别
    什么是命名空间,为什么要使用命名空间?
  • 原文地址:https://www.cnblogs.com/onetrainee/p/12132088.html
Copyright © 2011-2022 走看看