使用绝对路径通过 LoadLibrary() 和 GetModuleHandle() 加载系统 DLL 是否更好地防止 DLL 劫持?

c00000fd

在许多情况下,加载一些较新的 API 会使用这样的构造:

(FARPROC&)pfnZwQueryVirtualMemory = ::GetProcAddress(::GetModuleHandle(L"ntdll.dll"), "ZwQueryVirtualMemory");

但是,考虑到Dll 劫持的可能性,因此指定 DLL 的绝对路径是否更好。还是只是矫枉过正?

WCHAR buff[MAX_PATH];
buff[0] = 0;
if(::GetSystemDirectory(buff, MAX_PATH) &&
    ::PathAddBackslash(buff) &&
    SUCCEEDED(::StringCchCat(buff, MAX_PATH, L"ntdll.dll")))
{
    (FARPROC&)pfnZwQueryVirtualMemory = ::GetProcAddress(::GetModuleHandle(buff), "ZwQueryVirtualMemory");
}
else
{
    //Something went wrong
    pfnZwQueryVirtualMemory = NULL;
}

后一种方法的问题在于它并不总是有效(例如使用Comctl32.dll.)

不同的

您不必为 ntdll.dll 和 kernel32.dll 做任何特别的事情,因为它们将在您有机会做任何事情之前被加载,它们也在 known-dlls 列表中。

dll劫持问题通常包括辅助库。以 version.dll 为例,它不再在 known-dlls 列表中,因此明确链接到它是有问题的,它需要动态加载。

最好的解决方案是三件事的组合:

  1. SetDefaultDllDirectories(LOAD_LIBRARY_SEARCH_SYSTEM32)如果可用则调用(Win8+ 和更新的 Win7)。
  2. 通话LoadLibrary的完整路径(GetSystemDirectory调用之前)GetModuleHandle
  3. 不要明确链接到 kernel32、user32、gdi32、shlwapi、shell32、ole32、comdlg32 和 comctl32 以外的任何内容。

如果SetDefaultDllDirectories不可用,那么如果您不控制应用程序目录,就很难保护自己,因为各种 Windows 函数会延迟加载 shcore.dll 等没有完整路径的 dll(尤其是 shell API)。SetDllDirectory("")对当前/工作目录有帮助,但对于未修补的 Win8 系统之前的系统没有好的应用程序目录解决方法,您只需要使用进程监视器进行测试并在 WinMain 早期手动加载有问题的库。

应用程序目录是一个问题,因为有些用户只是将所有内容都放在下载文件夹中并从那里运行它。这意味着您最终可能会在您的应用程序目录中发现一个恶意 dll。

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

Delphi:使用LoadLibrary加载DLL的奇怪行为

使用LoadLibrary打开dll进行分析是否安全?

哪种方法更好地获取静态链接 DLL 的模块句柄 (HMODULE) - 使用 GetModuleHandleEx() 或 LoadLibrary()?

如何获取通过LoadLibrary()加载的DLL的内存使用情况?

GetModuleHandle() 无法检索“notepad.exe”加载的“advapi32.dll”句柄

什么变成了用Java加载System.loadLibrary()的.dll的搜索路径?

获取相对于DLL位置的绝对路径

为什么 LoadLibrary 失败而 LoadLibraryA 成功加载 DLL?

Easyhook:如何从加载了 LoadLibrary 的 DLL 中挂钩函数

LoadLibrary 在运行时加载 dll 时返回 126

在构建将使用LoadLibrary加载的DLL时,我是否需要与相关二进制文件链接或是否包含头文件?

请说明Notepad ++的DLL劫持如何工作

DLL劫持计算器C代码

动态dll加载和googletest

如何使用 Activator.CreateInstance 从系统 dll 加载类型?

VS2013-LoadLibrary找不到dll

关闭由LoadLibrary打开的DLL文件句柄

为什么Qt Creator在没有.lib和LoadLibrary()的情况下可以正确链接dll?

LoadLibrary vs加载二进制dll到进程中?

如何控制DLL的搜索顺序以避免劫持?

Windows XP 64 上的 LoadLibrary() 在 SysWow64 中找不到 DLL,除非它在路径中?

使用Python Ctypes加载dll

使用 ResolveEventHandler 加载资源 DLL

使用AddeventHandler动态加载DLL

获取通过类路径加载的文件的绝对路径

windbg dump:已加载的dll的路径,仅显示dll名称

从相对路径在C#中加载dll

Java-通过相对路径加载dll,并将其隐藏在jar中

Java:无论操作系统如何,如何确定路径是否为绝对路径