汇集软件下载,免费分享活动线报

ring3-破坏knowndlls反劫持保护

微创网小编 0

KnownDlls必须是在系统目录中,并且是在系统启动的时候,从注册表读取KnownDlls列表之后,如果加载这个dll,首先搜索系统目录,其次搜索当前目录。

knowndlls,顾名思义,是指系统目录默认加载的DLL,现在病毒伪装的马甲DLL置于文件启动目录之下伺机启动早已不是什么有创意的做法。应用程序启动前优先加载当前目录下的所需DLL,这就给木马的启动又多了一条途径,而knowndlls键值正是斩断这条传播通断的利剑,无论你在当前目录下有多少马甲DLL,应用程序都会从SYSTEM目录下去寻找,从而避免了马甲的毒害。

KnownDlls必须是在系统目录中,并且是在系统启动的时候,从注册表读取KnownDlls列表。之后,如果加载这个dll,首先搜索系统目录,其次搜索当前目录。

系统自带KnownDlls,读取注册表里的dll,就不管其他的dll了

解决方案是:把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls下的lpk项删除掉,重启电脑,再就可以dll劫持了

对于win7,在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager有个项叫做ExcludeFromKnownDlls(如果这个项没有,就手工加一个吧),把你的Lpk.dll加进去,重启电脑就行了,因为在win7下knowndlls是没有权限操作的!

这里再附上knowdlls的微软官方解释:

DLLs: 32-bit

For 32-bit DLLs the KnownDLLs registry key is found at:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

The REG_SZ registry value name is the name of the DLL without the extension. The registry value data is the name of the DLL with the extension. This entry affects only implicitly loaded DLLs, not DLLs loaded using the LoadLibrary() API.

Without this entry, Windows NT uses the following search order to locate the DLL:

  1. The directory of the executable for the process that is loading the DLL.
  2. The current directory of the process that is loading the DLL.
  3. The \WINNT\SYSTEM32 directory.
  4. The \WINNT directory.
  5. A directory listed in the path environment variable.


With the KnownDLLs registry entry, Windows NT uses the following search order to locate the DLL:

  1. The \WINNT\SYSTEM32 directory.
  2. The directory of the executable for the process that is loading the DLL.
  3. The current directory of the process that is loading the DLL.
  4. The \WINNT directory.
  5. A directory listed in the PATH environment variable.

标签:

暂无标签

免责声明:

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail: 1270528312@qq.com

同类推荐
评论列表
签到