DLL står for Dynamic Link Libraries og er eksterne dele af applikationer, der kører på Windows eller et hvilket som helst andet operativsystem. De fleste applikationer er ikke komplette i sig selv og gemmer kode i forskellige filer. Hvis der er behov for koden, indlæses den relaterede fil i hukommelsen og bruges. Dette reducerer applikationsfilstørrelsen og optimerer samtidig brugen af ​​RAM . Denne artikel forklarer, hvad der er DLL-kapring^{(DLL Hijacking)} , og hvordan man opdager og forhindrer det.

Hvad er DLL- filer^(Files) eller Dynamic Link Libraries

DLL- filer er Dynamic Link Libraries og som det fremgår af navnet, er de udvidelser af forskellige applikationer. Enhver applikation, vi bruger, bruger muligvis visse koder eller ikke. Sådanne koder gemmes i forskellige filer og kaldes eller indlæses kun i RAM , når den relaterede kode er påkrævet. Således sparer det en applikationsfil fra at blive for stor og forhindrer ressource-hogging af applikationen.

Stien til DLL - filer er angivet af Windows -operativsystemet. Stien indstilles ved hjælp af Global Environmental Variables . Som standard, hvis et program anmoder om en DLL -fil, kigger operativsystemet ind i den samme mappe, som programmet er gemt i. Hvis det ikke findes der, går det til andre mapper som angivet af de globale variabler. Der er prioriteter knyttet til stier, og det hjælper Windows med at bestemme, hvilke mapper der skal kigge efter DLL'erne^(DLLs) . Det er her, DLL -kapringen kommer ind.

Hvad er DLL-kapring

Da DLL'er^(DLLs) er udvidelser og nødvendige for at bruge næsten alle programmer på dine maskiner, er de til stede på computeren i forskellige mapper som forklaret. Hvis den originale DLL -fil erstattes med en falsk DLL -fil, der indeholder ondsindet kode, er den kendt som DLL Hijacking .

Som tidligere nævnt er der prioriteter for, hvor operativsystemet leder efter DLL - filer. Først^(First) kigger den ind i den samme mappe som applikationsmappen og søger derefter baseret på de prioriteter, der er angivet af operativsystemets miljøvariabler. Så hvis en good.dll-fil er i mappen SysWOW64 , og nogen placerer en bad.dll i en mappe, der har højere prioritet sammenlignet med mappen SysWOW64 , vil operativsystemet bruge bad.dll-filen, da den har samme navn som DLL -filen. anmodet om af ansøgningen. Når den først er i RAM , kan den udføre den ondsindede kode indeholdt i filen og kan kompromittere din computer eller netværk.

Sådan opdager du DLL-kapring

Den nemmeste metode til at opdage og forhindre DLL -kapring er at bruge tredjepartsværktøjer. Der er nogle gode gratis værktøjer tilgængelige på markedet, der hjælper med at opdage et DLL -hackforsøg og forhindre det.

Et sådant program er DLL Hijack Auditor , men det understøtter kun 32-bit applikationer. Du kan installere det på din computer og scanne alle dine Windows-applikationer for at se, hvad alle applikationer er sårbare over for DLL -kapring. Grænsefladen er enkel og selvforklarende. Den eneste ulempe ved denne applikation er, at du ikke kan scanne 64-bit applikationer.

Et andet program, til at opdage DLL - kapring,  DLL_HIJACK_DETECT, er tilgængeligt via GitHub . Dette program kontrollerer applikationer for at se, om nogen af ​​dem er sårbare over for DLL - kapring. Hvis det er, informerer programmet brugeren. Applikationen har to versioner - x86 og x64 , så du kan bruge hver til at scanne henholdsvis 32-bit og 64-bit applikationer.

Det skal bemærkes, at ovenstående programmer bare scanner applikationerne på Windows -platformen for sårbarheder og faktisk ikke forhindrer kapringen af ​​DLL- filer.

Sådan forhindrer du DLL-kapring

Problemet bør løses af programmørerne i første omgang, da der ikke er meget du kan gøre bortset fra at forbedre dine sikkerhedssystemer. Hvis programmører i stedet for en relativ sti begynder at bruge en absolut sti, vil sårbarheden blive reduceret. Læsning af den absolutte sti, Windows eller ethvert andet operativsystem afhænger ikke af systemvariabler for sti og vil gå direkte til den tilsigtede DLL , og derved afvise chancerne for at indlæse ^(DLL)DLL med samme navn i en højere prioritet sti. Denne metode er heller ikke fejlsikker, fordi hvis systemet er kompromitteret, og cyberkriminelle kender den nøjagtige sti til DLL , vil de erstatte den originale DLL med den falske DLL. Det ville være at overskrive filen, så den originale DLL ændres til ondsindet kode. Men igen, den cyberkriminelle skal kende den nøjagtige absolutte sti, der er nævnt i applikationen, der kalder på DLL'en^(DLL) . Processen er hård for cyberkriminelle og kan derfor regne med.

For at komme tilbage til, hvad du kan gøre, prøv bare at opskalere dine sikkerhedssystemer for bedre at sikre dit Windows-system^{(secure your Windows system)} . Brug en god firewall . Hvis det er muligt, skal du bruge en hardware-firewall eller tænde for routerens firewall. Brug gode systemer til registrering af indtrængen, så du ved, om nogen forsøger at lege med din computer.

Hvis du er til fejlfinding på computere, kan du også udføre følgende for at øge din sikkerhed:

1. Deaktiver DLL -indlæsning fra eksterne netværksshares
2. Deaktiver indlæsning af DLL- filer fra WebDAV
3. Deaktiver WebClient -tjenesten helt, eller indstil den til manuel
4. Bloker ^(Block)TCP - portene 445 og 139, da de bruges mest til at kompromittere computere
5. Installer de seneste opdateringer til operativsystemet og sikkerhedssoftwaren.

Microsoft har udgivet et værktøj til at blokere DLL - load-kapringangreb. Dette værktøj mindsker risikoen for DLL -kapringangreb ved at forhindre applikationer i at indlæse kode fra DLL - filer på en usikker måde.

Hvis du gerne vil tilføje noget til artiklen, bedes du kommentere nedenfor.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are external partѕ of аpplications that run on Windows or any other operating system. Most applicatіons are nоt complete in themselves and store code in different fіles. If there iѕ a need for the code, the related file is loaded into memоry and used. This reduces application file size while optimizing the usаge of RAM. This аrticle explains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Hvad er Remote Access Trojan? Forebyggelse, opdagelse og fjernelse

• Filløse malwareangreb, beskyttelse og detektion

• Hvordan undgår man phishing-svindel og angreb?

• Cyberangreb - definition, typer, forebyggelse

• Browserkapring og gratis værktøjer til fjernelse af browserkaprer

• Hvad er cyberkriminalitet? Hvordan skal man håndtere det?

• Hvordan kan du få en computervirus, trojan, arbejde, spyware eller malware?

• Fjern virus fra USB-flashdrev ved hjælp af kommandoprompt eller batchfil

• Sådan afinstalleres eller fjernes Driver Tonic fra Windows 10

• Sådan kontrollerer du, om en fil er skadelig eller ej på Windows 11/10

• Ret søgning mislykkedes, når du kører Chrome Malware Scanner

• De bedste virus- og malware-scannere GARANTERET til at ødelægge enhver virus

• Hvad er rootkit? Hvordan fungerer rootkits? Rootkits forklaret.

• Hvad er Win32: BogEnt, og hvordan fjerner man det?

• Sådan forhindrer du malware - Tips til at sikre Windows 11/10

• Tjek, om din computer er blevet inficeret af ASUS Update Malware

• Hvad er Living Off The Land-angreb? Hvordan holder man sig sikker?

• Sådan fjerner du Virus Alert fra Microsoft på Windows PC

• Det angivne modul kunne ikke findes fejl på Windows 11/10

• Sådan fjerner du malware fra din pc i Windows 10