dll hijacking

不知理解的对不对 uTorrent程序需要用到plugin_dll.dll,当双击uTorrent文件时，先从uTorrent文件所在的目录查找，故而先加载的是伪造的dll, 然后可以利用这个dll干任何想干的事情，当然，得先知道它的接口函数，从攻击的角度来说，就是如何把这个dll和uTorrent文件一起打包给用户。

从攻击的角度来讲，是如何为plugin_dll.dll这个大多数人并不清楚为何物的东西找个能蒙过去的数字签名。。。

估计放出去不到1天就要被360的云XX和谐掉。。 【 在 mmgroup (からす) 的大作中提到: 】 : 从攻击的角度来讲，是如何为plugin_dll.dll这个大多数人并不清楚为何物的东西找个能蒙过去的数字签名。。。

最近确实火 好多自启动甚至win7的UAC绕过都可以用

【 在 xsxtxt 的大作中提到: 】 : 最近公布了好多dll hijacking类型的漏洞，今天上午跟曾哥交流了一下dll的相关信息，获益良多，在此我选择其一作为演示，目标程序是我们byr几乎都用过的uTorrent。 : 本来可以录制成avi格式，不过由于avi格式太大而不能上传，所以只能用screen2exe录制为exe格式! : 视频见附件![upload=1][/upload] : ................... 曾哥真是全才啊

真不知道何时 Dll Hijacking也成为了漏洞。 这项技术多年前就在病毒木马以及补丁上运用广泛了。

很多年前就用那玩意来做捆绑了.. 呵呵.. 这不算是漏洞(vulnerability). 只是一个bug..

运用起来看似相同，然原理却不同于多年前的通过优先路径搜索方式进行的劫持，对于路径优先方式的劫持微软引进了SafeDllSearchMode 进行修正!

楼上难道目前的这个劫持就不是优先路径搜索方式吗。 它无非是层层追溯，因为本身系统不存在，所以才能在追溯到下层的当前目录路径下进行加载。另外SafeDllSearchMode跟你说的多年前优先路径搜索方式劫持完全扯不到一块，因为SafeDllSearchMode影响的是当前目录，而不是程序载入目录请注意。而真正影响的是KnownDLLs。 还有传统的病毒，因为Loader要执行，所以直接排除这些微软的策略。这次的劫持无非也是利用的路径搜索方法，只不过是换成了能追溯到当前目录下加载的DLL。