DLL 侧载
程序可以指定在运行时加载的 DLL。
不正确或模糊地指定所需 DLL 的程序可能会导致漏洞,从而加载非预期 DLL。
当 Windows Side-by-Side (WinSxS) 的 Manifests 对要加载的 DLL 的特征不够明确时,就会出现侧载漏洞。
攻击者可以利用易受侧载攻击的合法程序来加载恶意 DLL。
攻击者很可能使用这种技术来掩盖他们在合法的、可信的系统或软件进程下执行的操作。
缓解
定期更新软件。
在写保护位置安装软件。
使用 Windows 附带的程序 sxstrace.exe 以及手动来检查 manifest 文件中以确定软件中是否存在侧载漏洞。
检测
监视进程的异常活动(例如,不需要网络却开始使用网络的进程)。
跟踪 DLL 元数据(例如散列),并将在进程执行时加载的 DLL 与以前的执行情况进行比较,以检测与补丁或更新无关的差异。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论