『免杀系列』DLL劫持

主要观点总结

文章介绍了DLL劫持挖掘的相关知识，包括DLL的作用、劫持原理、加载顺序以及如何进行DLL劫持挖掘等。

关键观点总结

关键观点1: DLL劫持介绍

DLL在Windows系统中起到动态链接库的作用，程序通过调用DLL来执行某些功能。DLL劫持是通过替换DLL文件或导出函数，实现在原程序运行时调用恶意DLL的效果。

关键观点2: DLL加载顺序

Windows系统加载DLL的顺序为：EXE所在目录、当前目录、系统目录（C:\Windows\System32目录）、Windows目录（C:\Windows）和环境变量PATH所包含的目录。

关键观点3: DLL劫持挖掘方法

可以通过使用process Monitor Filter工具查看运行exe所加载的全部dll文件，使用CFF Explorer工具查看exe文件位数以及导入目录，通过自定义导出函数并使用MessageBox弹框来检测exe是否使用了该函数。

关键观点4: DLL劫持中的死锁问题

在dllmain中使用恶意代码可能存在死锁问题，解决方法是使用导出函数上线，或者采用进程注入、线程劫持等方式在dllmain之外上线。

关键观点5: 其他挖掘DLL劫持的方法

除了手动挖掘，还可以使用工具进行挖掘。此外，宸极实验室是致力于网络安全对抗技术研究的团队，善于利用黑客视角发现和解决网络安全问题。