病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 与其收费不如ITUSB数据线与快速充电线 »

DLL劫持与白加黑

  DLL劫持,即动态链接库DLL文件通常加载顺序为:1、可执行程序加载的目录,2、系统目录(即 %windir%\system32 ),3、16位系统目录(即 %windir%\system),4、Windows目录(即 %windir%),5、运行某文件的所在目录,6、PATH环境变量中列出的目录,所谓劫持就是利用此原理,分别于执行程序所在目录或运行文件所在目录加入自己伪装的同名DLL,导致系统或应用软件运行时加载病毒或木马,前者如早期的lpk.dll,后者如通过劫持或替换看图或播放软件,在打开图片或视频文件时由应用软件加载病毒DLL。

  防止劫持的方法是通过在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs下手动增加要调用的DLL首要查找目录,加入RE_SZ类型的"ntdll"="ntdll.dll"项,则系统载入"ntdll"时会直接从系统目录加载。由于win7在此注册表键下有较齐全的设置,相比xp而言更安全,更不用说win8,在微软的严格防堵下,安全性更高,所以除了升级杀毒软件,使用更高版本的操作系统也是很好的方法之一。

DLL劫持与白加黑

  但显然目前还不能完全避免此“漏洞”(其实算不上漏洞,只能说是规则),特别是应用软件们的,通过DLL劫持来绕过安全软件主动防御的保护被称为“白加黑”,因为加载的主程序是正常的软件,主动防御可能会放过它,允许它启动,而恶意DLL则通过该软件的漏洞或替换正常的同名文件(对应用软件的文件保护似乎并不象对系统文件保护那样严密,而且并不是一直运行状态,被替换还是比较容易的), 甚至有的还会冒用合法软件的数字签字等方式,由正常程序加载,从而躲开安全软件的拦截。

  木马还是会有木马的特性,如要下载其它木马或病毒、要连接外网的服务器进行远控以及在本机释放其它文件和加载自己的启动项等等,但如果仅仅主动防御可能还是会放过,毕竟是正常软件触发的,而如果所有的动作都提示,如HIPS,又可能造成普通用户烦不胜烦,就算编写规则策略也有点难度(可能误报率高,人工辨认量大)。所以此种情况下,首先应用软件要尽是使用新版本(操作系统也是),堵住漏洞,其次杀毒软件要及时更新,这时候特征码杀毒技术还是有用武之地的,如果能第一时间收集到新病毒木马或其变种的特征的话,也就是说,需要多种技术并用才能提高防范成功率。

有关DLL劫持,参考http://baike.baidu.com/view/3515992.htm


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1441.html

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号