Posted on

DetectDLLHijacking(探测是否有DLLHijacking漏洞的小工具)

最近DLLHijacking抄的很热,其实很无聊的一个东西。估计是安稳太久了,闲的蛋疼,于是拿了个老东西出来炒炒,不过开始炒的人似乎是个名人,然后大家一起玩,竟然逼的微软出了安全公告。偶也无聊,练手写了这么一个小工具,打开后放那就可以了,然后打开你系统上的程序,他会检查下是否有DLLHijacking漏洞。不过俺技术不好,不知道为啥有一些检查不到。这里是程序主要原理:挂了个钩子把DLL注入到别的程序里面,然后IATHook了LoadLibraryA、LoadLibraryW、LoadLibraryExA 和LoadLibraryExW。有大牛知道为啥俺这个检查不全的话,请告诉俺,谢谢。

下载地址:http://www.mtian.org/down/DetectDLLHijacking.zip

效果截图:

update:问题已查明,setwindowshook的问题,在某些程序那里loadlibrary之前未挂上钩子。

Posted on

MDecoder的隐藏功能及历史版本下载

在配置文件config.ini的[main]中添加这么一行后可以打开MDecoder的隐藏功能:FullFunc=True,打开的两个小功能是:
1,自动保存网页到MDecoder目录的子目录Download下。网页是拼接过的,把网页内包含的JS拼接到了网页内部。
2,解密选项增加三个:Scan,解密页面给扫描用的解密方法;Parser,会进行简单的词法分析来拼接字符串;HookUnescape,没啥好解释的。

MDecoder历史版本下载地址:

http://www.mtian.org/down/MDecoder v0.21.zip
http://www.mtian.org/down/MDecoder v0.22.zip
–>
http://www.mtian.org/down/MDecoder v0.66.zip

另外,短期内没有更新这个工具的打算了。