最近DLLHijacking抄的很热,其实很无聊的一个东西。估计是安稳太久了,闲的蛋疼,于是拿了个老东西出来炒炒,不过开始炒的人似乎是个名人,然后大家一起玩,竟然逼的微软出了安全公告。偶也无聊,练手写了这么一个小工具,打开后放那就可以了,然后打开你系统上的程序,他会检查下是否有DLLHijacking漏洞。不过俺技术不好,不知道为啥有一些检查不到。这里是程序主要原理:挂了个钩子把DLL注入到别的程序里面,然后IATHook了LoadLibraryA、LoadLibraryW、LoadLibraryExA 和LoadLibraryExW。有大牛知道为啥俺这个检查不全的话,请告诉俺,谢谢。
下载地址:http://www.mtian.org/down/DetectDLLHijacking.zip
效果截图:
update:问题已查明,setwindowshook的问题,在某些程序那里loadlibrary之前未挂上钩子。
So bad you didn’t opened your code, really bad …
to waigrow:对于楼上这种大牛用得着开源么?
程序写的马马虎虎,感觉你写代码太注重外表了,继续分析你的程序,打开程序就发现你勾住IE,就有点不放心了。。。嘿嘿,让我联想到穿墙下载者了
还有,就这么点内容 你就把主程序整的那么大干什么呢。。。博主别见怪我的挑刺哦
to lofullen:这个程序几乎没有外表可言吧,不知道注重外表的说法是怎么来的。勾住IE是因为挂了一个全局的钩子。主程序是VS2008默认生成的,VS2008的玩意就是大,跟VC6没法比。
if i use LdrLoadDll function,i think your check may be failure!