knowndlls反劫持
系統(tǒng)自帶KnownDlls,讀取注冊(cè)表里的dll,就不管其他的dll了
knowndlls,顧名思義,是指系統(tǒng)目錄默認(rèn)加載的DLL,現(xiàn)在病毒偽裝的馬甲DLL置于文件啟動(dòng)目錄之下伺機(jī)啟動(dòng)早已不是什么有創(chuàng)意的做法。應(yīng)用程序啟動(dòng)前優(yōu)先加載當(dāng)前目錄下的所需DLL,這就給木馬的啟動(dòng)又多了一條途徑,而knowndlls鍵值正是斬?cái)噙@條傳播通斷的利劍,無論你在當(dāng)前目錄下有多少馬甲DLL,應(yīng)用程序都會(huì)從SYSTEM目錄下去尋找,從而避免了馬甲的毒害。
?
解決方案是:把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls下的lpk項(xiàng)刪除掉,重啟電腦,再就可以dll劫持了
?
對(duì)于win7, 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager有個(gè)項(xiàng)叫做ExcludeFromKnownDlls(如果這個(gè)項(xiàng)沒有,就手工加一個(gè)吧),把你的Lpk.dll加進(jìn)去,重啟電腦就行了,因?yàn)樵趙in7下knowndlls是沒有權(quán)限操作的!
這里再附上knowdlls的微軟官方解釋:
DLLs: 32-bit
For 32-bit DLLs the KnownDLLs registry key is found at: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager The REG_SZ registry value name is the name of the DLL without the extension. The registry value data is the name of the DLL with the extension. This entry affects only implicitly loaded DLLs, not DLLs loaded using the LoadLibrary() API.?Without this entry, Windows NT uses the following search order to locate the DLL:
轉(zhuǎn)載于:https://www.cnblogs.com/hgy413/archive/2012/07/29/3693480.html
總結(jié)
以上是生活随笔為你收集整理的knowndlls反劫持的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 基于 Flink、ClickHouse
- 下一篇: 惠普打印机双击之后没有扫描_安装hp l