病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 360删除不了的服务xInsIDE.exe »

DLL劫持漏洞及其应急解决方案

  本文综合来源于电脑报2010年第36期的《“末日漏洞”笼罩4亿网民——DLL劫持漏洞分析》和微软官网的《提供了一个新的 CWDIllegalInDllSearch 注册表项来控制 DLL 搜索路径算法》。

  DLL劫持漏洞就是以上所称的“末日漏洞”,导致此漏洞的原因就是软件编程不规范,部分程序在加载一些DLL文件时,只给出了文件名,而没有给出完整路径,系统不得不按照默认搜索顺序(即应用程序启动的目录→32位与16位系统目录→Windows目录→当前目录→PATH环境变量列举的目录)找出DLL文件,如果制造一个同名的DLL文件,采取技术手段确保它先于正常DLL文件被加载,就可以激活病毒。

  以这个原理进行破坏的例子早就出现过(“应用程序正常初始化失败一例”),但此前该漏洞的利用只能在本地,所以要触发漏洞,得先搞一个DLL文件到电脑里去,容易引起杀毒软件的警觉,导致病毒激活的成功率不高,而现在发现了远程利用该漏洞的方法,不用想办法把DLL文件塞进用户的电脑,只要诱使用户访问特定的东东,就可以激活漏洞,这样一来该漏洞具备了大规模传播病毒的能力。
 

  在等待各软件厂商堵住自己软件中因不规范编程带来的漏洞前,我们可以安装微软紧急推出的安全补丁:http://support.microsoft.com/kb/2264107,在该网页的中间,可以看到提供补丁下载的链接,根据自己Windows系统版本下载相应的补丁并安装,如

Windows XP 更新:立即下载该程序包
Windows 7 更新:立即下载该程序包

其它的操作系统版本可到该网页下载。接着,登录http://go.microsoft.com/?linkid=9742148,下载第二个补丁,安装后,远程利用DLL漏洞的途径就被掐断了。但漏洞还可以在本地被利用,防范的方法是修改注册表。打开注册表编辑器(开始-运行-regedit,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\,右侧有一个名为CWDIllegalInDllSearch的子键,双击该子键,修改它的值,选择“十六进制”,填入ffffffff,点击“确定”即可,最后重启电脑就彻底堵上该漏洞。

  关于CWDIllegalInDllSearch的解释可具体参考《提供了一个新的 CWDIllegalInDllSearch 注册表项来控制 DLL 搜索路径算法》,简单的说就是CWDIllegalInDllSearch控制 DLL 搜索路径算法,可以在以下路径中添加 CWDIllegalInDllSearch 注册表项:

将此注册表项用于计算机上的所有应用程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

将此注册表项用于计算机上的特定应用程序: 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<application binary name>

  CWDIllegalInDllSearch 注册表项的值按如下方式控制加载DLL文件的搜索路径:

情形 1:应用程序从本地文件夹启动,如 C:\Program Files
0xFFFFFFFF--按默认 DLL 搜索顺序删除当前工作目录
0--使用前面提到的默认 DLL 搜索路径
1--如果当前工作目录设置为 WebDAV 文件夹,则阻止从当前工作目录加载 DLL
2--如果当前工作目录设置为远程文件夹(如,WebDAV 或 UNC 位置),则阻止从当前工作目录加载 DLL
无注册表项或其他值--使用前面提到的默认 DLL 搜索路径

情形 2:应用程序从远程文件夹启动,如 \\remote\shareremote\share
0xFFFFFFFF--按默认 DLL 搜索顺序删除当前工作目录
0--使用前面提到的默认 DLL 搜索路径
1--如果当前工作目录设置为 WebDAV 文件夹,则阻止从当前工作目录加载 DLL
2--如果当前工作目录设置为远程文件夹(如,WebDAV 或 UNC 位置),则允许从当前工作目录加载 DLL。
无注册表项或其他值--使用前面提到的默认 DLL 搜索路径

情形 3:应用程序从 WebDav 文件夹启动,如 http://remote/share
0xFFFFFFFF--按默认 DLL 搜索顺序删除当前工作目录
无注册表项或其他值--使用前面提到的默认 DLL 搜索路径 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/812.html

  • 1楼.1米9男装
  • 末日,就不能弄个优雅滴~
    流风33 于 2011-2-26 17:09:37 回复
    起名的人故意这样以引起别人的注意
  • 2011-2-26 14:38:02  [引用]

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号