原理:当软件加载外部dll时,由于配置不当,按照默认的加载顺序加载,此时如果自己生成dll在软件加载自身dll之前加载,则会造成dll劫持。
复现
工具 PE
本机dll路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
1.通过PE查看本机的dll加载
2.对比注册表处的dll
3.若dll对比后发现为外部加载,则此dll可以劫持。根据运行权限获取相应的权限。
浙公网安备 33010602011771号