dll劫持代码生成模块源码（dll劫持检测）

今天给各位分享dll劫持代码生成模块源码的知识，其中也会对dll劫持检测进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、问一下高手 c++dll文件如何反编译 看源代码啊？？？？
• 2、dll文件如何反汇编成源码，C++语言编写
• 3、DLL文件是怎样生成的？
• 4、DLL文件劫持应该怎么办 急啊
• 5、用VS 如何由源代码生成DLL文件
• 6、dll劫持的如何防止DLL劫持

问一下高手 c++dll文件如何反编译 看源代码啊？？？？

1、首先在反编译工具中打开DLL文件。

2、然后用“程序集管理器”浏览DLL文件的节点。

3、双击某个节点查看它的代码，然后在右侧栏中，弄清楚不同的代码。

4、接着将代码导到Visual Basic中。

5、最后在Visual Studio中编辑代码，就完成了反编译DLL文件。

dll文件如何反汇编成源码，C++语言编写

DLL 属于可执行文件中的一类，又称为动态链接库，不能直接用DEBUG加载，一般由应用程序因使用该库中的函数，而由操作系统在应用程序加载的同时被加载入特定地址，这个地址一般是DLL在链接时指定的。当DLL被加载到运行空间，根据输出函数表，可以得到各个函数的入口地址，然后用DEBUG在各个入口下断点，调用该函数时DEBUG将跟踪进入该函数，从而实现反汇编。

反汇编属于逆向工程，逆向工程的主要手段有两大类，其中一类是动态分析，另一类是静态分析。

前面提到的方法属于动态分析，由DEBUG实现反汇编，该方法不容易得到完整的代码，一般只能形成一段一段独立分散的代码，同时由于DEBUG的局限性，反汇编的代码质量多不高，生成的代码不能直接使用，原因在于DLL在加载时若没有加载到指定地址空间，操作系统将对代码进行重定向，所以DEBUG只能得到重定向后的代码，这类代码必须修改每一个重定向点，才能形成可执行代码。作为WINDOWS32位操作系统， OLLYDBG是最为优秀的调试、跟踪、反汇编工具，多窗口运行，可以方便的通过窗口操作完成各类动作，而不需要像一般DEBUG那样由命令行来完成，OLLYDBG还有许多一般调试器不具备的功能，同时由于每一代高手不断的修改，使其具有多种功能，同时带来的就是混乱，谁也不知道有多少版本，谁也不清楚每个版本到底增加了什么功能，但就这样，也是瑕不掩疵， OLLYDBG任然是DEBUG中最强大，最好使用的。

静态分析和动态分析不同，静态分析直接打开原程序，加载而不运行，然后直接分析加载的代码。目前静态分析工具，最强大的当属IDA，IDA支持几乎所有种类的汇编语言。

IDA加载应用程序有许多选项，可以选择完整的加载整个程序，也可以选择加载程序的某个块，一般可选择的是否加载文件头、资源表、输入表、输出表等等。

IDA还支持调试，也就是说，当你在进行反汇编过程时，可以直接使用IDA来调试跟踪，以分析代码的动态执行情况，不过就动态跟踪来说，OLLYDBG更为强大。

IDA反汇编的正确率和代码的复杂程度有关，对于正规开发的代码，尤其是如果能够获得源程序的调试文件，即所谓的PDB文件，IDA可以读取PDB文件中的信息，使得反汇编的效率和准确度大为提高，生成的代码甚至比源代码易读。IDA将反汇编生成的结果存入IDB文件中。当你确认反汇编的结果达到你的要求，可以让IDA输出汇编源代码，IDA也提供其他格式的输出，例如HTML文件，便于用户阅读。楼主主要是用于分析DLL文件，一般来说这类文件更适合做静态分析，所以推荐使用IDA来进行。

IDA对于分析那些加壳或含有大量花指令、混淆代码、垃圾代码的程序，反汇编的正确率会大为下降，因为IDA无法正确的确认当期位置上的数值是属于代码，还是属于数据，是普通C字符,还是DELPHI的字符串，还是UNICODE字符串，是结构数据还是数组还是类表（DELPHI生成的代码中含有大量的类表）等等。遇到这种情况，就需要使用者掌握许多技巧，例如可以通过使用者对当前数据的认识，指导IDA如何处理当前的数据。对于大批量的，具有某些规律的数据，IDA还提供了脚本语言（文件尾位idc），通过对脚本的执行来指导IDA如何进行反汇编。对于更为复杂的情况，例如程序是自解压运行的，这时IDA就没有任何能力来进行正确的分析，通常都会用OLLYDBG动态跟踪，等程序完成自解压后从内存中将解压后的代码完整的挖下来形成文件，再由IDA进行静态分析。

对于成功进行反汇编的代码，IDA根据代码的入口、调用、转移等指令，可以为使用者提供各种格式的程序的流程图，IDA提供许多格式由用户选择，便于用户理解程序的结构。

下面提供的是一个汇编程序的源代码，然后将这个源代码编译成可执行文件后，用IDA反汇编得到的结果，由此可清晰的认识到IDA的强大（由于汇编代码都很长，所以截取部分来展示）。

汇编源代码（这是以前写“可执行文件头的变形技术”一书时书中示例的代码）：

下面这些是通过IDA反汇编得到的结果，IDA以HTML格式输出（这里给出的是图形）：

DLL文件是怎样生成的？

由编译器编译源代码生成的啦。在开发软件的时候，把那些常用的方法，组织在一个类里面编译成dll文件，方便以后调用呢

DLL文件劫持应该怎么办 急啊

DLL当一个可执行文件运行时，Windows加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，并将它们映射到进程的地址空间中。

由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果没找到，则在Windows系统目录查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的DLL，提供同样的输出表，每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL，完成相关功能后，再跳到系统DLL同名函数里执行，如图18.4。这个过程用个形象的词来描述就是系统DLL被劫持（hijack）了。

184.gif

利用这种方法取得控制权后，可以对主程序进行补丁。此种方法只对除kernel32.dll, ntdll.dll等核心系统库以外的DLL有效，如网络应用程序的ws2_32.dll，游戏程序中的d3d8.dll，还有大部分应用程序都调用的lpk.dll，这些DLL都可被劫持。

利用5.6.2章提供的CrackMeNet.exe来演示一下如何利用劫持技术制作补丁，目标文件用Themida v1.9.2.0加壳保护。

1．补丁地址

去除这个CrackMe网络验证方法参考第5章，将相关补丁代码存放到函数PatchProcess( )里。例如将401496h改成：

代码:00401496 EB 29 jmp short 004014C1

补丁编程实现就是：

代码:

unsigned char p401496[2] = {0xEB, 0x29};

WriteProcessMemory(hProcess,(LPVOID)0x401496, p401496, 2, NULL);

p401496这个数组的数据格式，可以用OllyDBG插件获得，或十六进制工具转换。例如Hex Workshop打开文件，执行菜单Edit/Copy As/Source即可得到相应的代码格式。

2．构建输出函数

查看实例CrackMeNet.exe输入表，会发现名称为ws2_32.dll的DLL，因此构造一个同名的DLL来完成补丁任务。伪造的ws2_32.dll有着真实ws2_32.dll一样的输出函数，完整源码见光盘。实现时，可以利用DLL模块中的函数转发器来实现这个目标，其会将对一个函数的调用转至另一个DLL中的另一个函数。可以这样使用一个pragma指令：

代码:#pragma comment(linker, "/EXPORT:SomeFunc=DllWork.someOtherFunc")

这个pragma告诉链接程序，被编译的DLL应该输出一个名叫SomeFunc的函数。但是SomeFunc函数的实现实际上位于另一个名叫SomeOtherFunc的函数中，该函数包含在称为DllWork. dll的模块中。

如要达到劫持DLL的目的，生成的DLl输出函数必须与目标DLL输出函数名一样，本例可以这样构造pragma指令：

代码:#pragma comment(linker, "/EXPORT:WSAStartup=_MemCode_WSAStartup,@115")

编译后的DLL，会有与ws2_32.dll同名的一个输出函数WSAStartup，实际操作时，必须为想要转发的每个函数创建一个单独的pragma代码行，读者可以写一个工具或用其他办法，将ws2_32.dll输出函数转换成相应的pragma指令。

当应用程序调用伪装ws2_32.dll的输出函数时，必须将其转到系统ws2_32.dl中去，这部分的代码自己实现。例如WSAStartup输出函数如下构造：

代码:

ALCDECL MemCode_WSAStartup(void)

{

GetAddress("WSAStartup");

__asm JMP EAX;//转到系统ws2_32.dll的WSAStartup输出函数

}

其中GetAddress()函数的代码如下：

代码:

// MemCode 命名空间

namespace MemCode

{

HMODULE m_hModule = NULL; //原始模块句柄

DWORD m_dwReturn[500] = {0}; //原始函数返回地址

// 加载原始模块

inline BOOL WINAPI Load()

{

TCHAR tzPath[MAX_PATH]={0};

TCHAR tzTemp[MAX_PATH]={0};

GetSystemDirectory(tzPath, sizeof(tzPath));

strcat(tzPath,"\\ws2_32.dll");

m_hModule = LoadLibrary(tzPath);//加载系统系统目录下ws2_32.dll

if (m_hModule == NULL)

{

wsprintf(tzTemp, TEXT("无法加载 %s，程序无法正常运行。"), tzPath);

MessageBox(NULL, tzTemp, TEXT("MemCode"), MB_ICONSTOP);

}

return (m_hModule != NULL);

}

// 释放原始模块

inline VOID WINAPI Free()

{

if (m_hModule)

FreeLibrary(m_hModule);

}

// 获取原始函数地址

FARPROC WINAPI GetAddress(PCSTR pszProcName)

{

FARPROC fpAddress;

TCHAR szProcName[16]={0};

TCHAR tzTemp[MAX_PATH]={0};

if (m_hModule == NULL)

{

if (Load() == FALSE)

ExitProcess(-1);

}

fpAddress = GetProcAddress(m_hModule, pszProcName);

if (fpAddress == NULL)

{

if (HIWORD(pszProcName) == 0)

{

wsprintf(szProcName, "%d", pszProcName);

pszProcName = szProcName;

}

wsprintf(tzTemp, TEXT("无法找到函数 %hs，程序无法正常运行。"), pszProcName);

MessageBox(NULL, tzTemp, TEXT("MemCode"), MB_ICONSTOP);

ExitProcess(-2);

}

return fpAddress;

}

}

using namespace MemCode;

编译后，用LordPE查看伪造的ws2_32.dll输出函数，和真实ws2_32.dll完全一样，如图18.5所示。

185.gif

查看伪造的ws2_32.dll中任意一个输出函数，例如WSACleanup：

代码:

.text:10001CC0 ; int __stdcall WSACleanup()

.text:10001CC0 WSACleanup proc near

.text:10001CC0 push offset aWsacleanup ;"WSACleanup"

.text:10001CC5 call sub_10001000 ;GetAddress(WSACleanup)

.text:10001CCA jmp eax

.text:10001CCA WSACleanup endp

会发现输出函数WSACleanup()首先调用GetAddress(WSACleanup)，获得真实ws2_32.dll中WSACleanup的地址，然后跳过去执行，也就是说ws2_32.dll各输出函数被HOOK了。

3．劫持输出函数

ws2_32.dll有许多输出函数，经分析，程序发包或接包时，WSAStartup输出函数调用的比较早，因此在这个输出函数放上补丁的代码。代码如下：

代码:

ALCDECL MemCode_WSAStartup(void)

{

hijack();

GetAddress("WSAStartup");

__asm JMP EAX;

}

hijack()函数主要是判断是不是目标程序，如是就调用PatchProcess()进行补丁。

void hijack()

{

if (isTarget(GetCurrentProcess())) //判断主程序是不是目标程序，是则补丁之

{

PatchProcess(GetCurrentProcess());

}

}

伪造的ws2_32.dll制作好后，放到程序当前目录下，这样当原程序调用WSASTartup函数时就调用了伪造的ws2_32.dll的WSASTartup函数，此时hijack()函数负责核对目标程序校验，并将相关数据补丁好，处理完毕后，转到系统目录下的ws2_32.dll执行。

这种补丁技术，对加壳保护的软件很有效，选择挂接的函数最好是在壳中没有被调用，当挂接函数被执行时，相关的代码己被解压，可以直接补丁了。有些情况下，必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测，很适合加壳程序的补丁制作。

一些木马或病毒也会利用DLL劫持技术搞破坏，因此当在应用程序目录下发现系统一些DLL文件存在时，应引起注意。

用VS 如何由源代码生成DLL文件

1：创建DLL工程

文件-新建-项目-visual c++-win32-win32控制台应用程序（win32项目也可以）

填写项目名称MyDLL-确定-下一步-DLL(附加选项 对空项目打钩)-完成。

到这里DLL工程就创建完毕了，下面新建两个文件MyDLL.cpp和MyDLL.h。

MyDLL.cpp内容如下：

1 #include  

2 using namespace std; 

3 #include "MyDLL.h" 

4  

5 int Add(int a,int b) 

6 { 

7     return a+b;  

8 }

MyDLL.h内容如下：

1 #pragma once

2  

3 extern "C" __declspec(dllexport) int Add(int a,int b);

点击生成Bulid --Bulid MyDLL，dll文件就生成了，vs2008不能直接生成lib文件，这个时候就需要我们在建立dll工程的时候 再新建一个def文件，默认生成然后重新生成就能够得到lib文件了，但可以通过修改工程属性里面的general-project default-configure type修改为lib，就可以生成lib文件。

注意：如果在已存在的工程上创建dll或者lib，不需要修改工程，只要把工程属性里面的general-project default-configure type修改为lib或者dll，就可以生成lib文件或者dll文件了

在C++程序中使用刚才生成的DLL文件步骤：

新建一个win32 控制台工程，取名testMyDLL，新建两个文件：testMyDLL.cpp和testMyDLL.h，

首先需要 隐式链接采用静态加载的方式，比较简单，需要.h、.lib、.dll三件套。新建“控制台应用程序”或“空项目”。配置如下:（这一点非常重要）

项目-属性-配置属性-VC++ 目录- 在“包含目录”里添加头文件MyDLL.h所在的目录

项目-属性-配置属性-VC++ 目录- 在“库目录”里添加头文件MyDLL.lib所在的目录 

项目-属性-配置属性-链接器-输入- 在“附加依赖项”里添加“MyDLL.lib”（若有多个 lib 则以空格隔开）

testMyDLL.cpp内容如下：

#include "testMyDLL.h" 

#pragma comment(lib,"..\\debug\\MyDLL.lib")//可以写成绝对路径，但是路径一定要用\\来指明，即：J:\\Pr//ograms\\C++\\Practice\\DLLTEST\\DLLtest\\Debug\\MyDLL.lib"#include  

using namespace std;

int main() 

{

int a =3;

int b =2;

coutAdd(a,b)endl;

getchar();

}  

testMyDLL.h内容如下

#pragma once

extern "C" _declspec(dllexport) int Add(int a,int b);

现在可以编译通过了，但是程序运行就报错，还需要将MyDLL.dll复制到当前项目生成的可执行文件所在的目录。（这一点非常重要）

这里需要注意testMyDLL.cpp文件中调用lib的这句话：

#pragma comment(lib,"..\\debug\\MyDLL.lib")

这里需要指明lib所在的文件夹，当然我们也可以在生成dll的MyDLL工程中，指定lib和dll文件的输出路径，直接到testMyDLL工程下。

注意：如果只有dll文件，那么必须在程序里面调用LoadLibrary()函数才能使用，如果有lib文件，那么有两种方式可以马上进行调用

dll劫持的如何防止DLL劫持

DLL劫持利用系统未知DLL的搜索路径方式，使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置，改变加载系统DLL的顺序不是当前目录，而是直接到系统目录下查找。

这个想法可以通过修改注册表实现。

在注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

是调用系统DLL的首要查找目录。例如里面有RE_SZ类型的ntdll=ntdll.dll项，则系统载入ntdll时会直接从系统目录加载。

由此，添加LPK=LPK.DLL即可防止LPK被劫持，同理可以阻止一些其他DLL被劫持，例如USP10。

在Windows NT系统，XP默认只有少数关键DLL在此键值下，Win7下面此键值已经相当齐全，在Win7系统下发生DLL劫持的概率要比XP小很多。

一 回顾DLL挟持的发展

2010年08月24日微软发布安全公告2269637，提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击

2010年08月24日流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有：Wireshark（免费嗅探器）,Windows Live email（邮箱客户端）, Microsoft MovieMaker（视频编辑处理），Firefox（网页浏览器）, uTorrent （BT下载工具），PowerPoint 2010（办公软件）等

2010年08月25日－26日漏洞信息共享网站exploit-db继续爆出Winamp,Google Earth,Photoshop等软件存在DLL挟持漏洞，同时发布这个blog之前笔者的电脑中已经发掘存在的流行软件有，QQ影音，QQ音乐，美图秀秀，ppstream等

二新老DLL挟持的攻击原理分析和防御

1 动态链接库文件通常加载顺序如下

windows xp sp2系统以上会默认开启SafeDllSearchMode，安全dll搜索模式下DLL文件的搜索顺序如下所示

（1）可执行程序加载的目录（可理解为程序安装目录比如 C:\Program Files\uTorrent）（2）系统目录（即 %windir%\system32 ）（3）16位系统目录（即 %windir%\system）（4）Windows目录（即 %windir%）（5）运行某文件的所在目录，比如C:\Documents and Settings\Administrator\Desktop\test）（6）PATH环境变量中列出的目录

2 老DLL挟持触发的原理解析和防御（漏洞触发在DLL搜索流程的第一层，运行程序即加载病毒）

（1）老DLL挟持的特点：

为了增加触发的概率，通常会使用usp1.dll，ws2_32.dll，lpk.dll等应用程序所必须的系统dll文件，然后利用DLL搜索第一顺位是程序安装目录，在程序安装目录释放一个同名DLL文件，抢先加载恶意病毒DLL文件，从而达到破坏的作用。这里可执行程序相当于恶意dll的加载器

（2）老DLL挟持病毒利用回顾重现

2007年罗姆病毒（ws2_32.dll导致很多杀毒软件无法打开），2009年春节猫癣病毒（usp10.dll导致很多用户重装系统都无法解决病毒问题）

通常使用老DLL挟持的病毒木马会枚举电脑里面的所有exe目录，然后将恶意的usp10.dll释放到每个exe所在的目录。当用户执行一个应用程序的时候，将会把恶意的usp10.dll文件优先加载从而感染系统

根据前面介绍的DLL加载顺序，运行程序的时候会优先到程序执行的目录下加载必须文件，下图显示了utorrent.exe在安装目录下的找到了usp10.dll文件并把它加载到内存中。

（3）老DLL挟持的通用免疫方案

可以通过编辑HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs来添加需要面议的DLL文件，比如：新建一个ws2_32 指向ws2_32.dll

3 新DLL挟持触发的原理解析和防御（漏洞触发在DLL搜索流程的第五层，运行图片即加载病毒）

（1）新DLL挟持的特点：

应用程序为了扩展或者兼容等目的需要加载相应的DLL文件，但是因为某些原因导致这个DLL文件默认不存在于当前系统，比如plugin_dll.dll文件默认情况下不存在utorrent的安装目录，dwmapi.dllxp环境下不存在（Vista以上系统存在），ie6环境下没有ieframe.dll（ie7以上版本存在）。正是因为程序需要的DLL文件在DLL搜索顺序的（1）－（4）中都不可能存在，此时就会尝试加载文件所在目录下的恶意dll文件，从而达到破坏的作用。这里运行的文件（比如mp3）相当于触发者，根据文件关联它会启动一个应用程序去播放mp3文件。而因为应用程序存在DLL挟持漏洞（比如QQ影音），此时QQ影音就会因为设计上的不足导致成为恶意DLL的加载器。相当于老DLL挟持，简直达到了运行图片/视频文件就会执行恶意文件的目的，当然前提是大灰客们能猜中你电脑里面的默认查看的软件是否存在DLL挟持漏洞了，目前已经发现的存在DLL挟持缺陷的主要有以下几类

① 特定系统环境下的文件

典型的有dwmapi.dll文件，xp环境下不存在，vista以上版本存在，也就是说需要触发这个漏洞的系统环境只能是XP系统

② 特定软件版本下的文件

典型的有：ieframe.dll，IE6下不 存在，ie7以上版本有，也就是说触发漏洞的电脑IE必须是IE6版本

③ 特定的库文件

典型的有：mfc80chs.dll

④ 程序自己需要的dll文件，可能是为了功能扩展或者兼容

典型的有：plugin_dll.dll

⑤ 其它未知

（2）新DLL挟持利用重现

通常灰客们会先通过DLL挟持挖掘工具寻找存在DLL挟持漏洞的流行应用程序，然后构造相应的文件上传到网络上供用户下载（具体的传播方式请看下一章），如果用户的电脑存在漏洞那么运行相应文件的时候就会执行存在漏洞的程序，从而使得恶意dll被不知不觉加载

根据前面介绍的DLL加载顺序和新DLL挟持的特点，程序在前四个流程都没有找到需要的文件，只能勉为其难的在第五流程－当前文件目录下加载恶意dll文件，下图就显示了uTorrent加载plugin_dll.dll顺序（前四个流程都是 name not found）并且加载当前目录下恶意plugin_dll.dll文件（第五流程显示的是success ）的过程

（3）新DLL挟持的免疫

目前微软没有提供有效的免疫方案可以使用，建议升级你常用软件到最新版本.

三 新DLL挟持可能存在的攻击方式

exploit-db公布了存在DLL Hijacking的大量常用软件，这些软件里面有视频音频播放器，图像设计浏览软件，IM聊天工具，文字处理软件，网页浏览器，下载软件，杀毒软件。根据在下的一点拙见如果病毒作者想要利用这个漏洞来实现广泛传播的话主要有几种方式。

1 BT下载大片传播

挖掘出支持BT下载的流行软件（比如uTorrent ）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和BT种子文件打包成压缩包上传到网上供用户下载，用户一旦下载了这个压缩包双击BT种子文件的时候会调用uTorrent 打开，uTorrent 运行的时候由于设计上的不河蟹根据dll加载的顺序最后会将种子所在目录的恶意dll加载

2 美女图片分享传播

挖掘出流行图片浏览工具（比如美图秀秀）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和图片文件打包成压缩包上传到网上供用户下载，用户一旦下载了这个压缩包，解压浏览美女靓照的时候可能会调用图片浏览工具打开从而触发漏洞加载恶意dll文件

3 软件下载包含的网页文件传播

挖掘出流行网页浏览工具（比如firefox）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件），应用程序和htm等网页文件打包成软件压缩包并上传到网上供用户下载。用户一旦下载了这个软件压缩包，解压以后运行安装必看.htm之类的网页文件会调用网页浏览工具打开从而触发漏洞加载恶意dll文件

4 热门视频音频文件传播

挖掘出流行视频音频播放工具（比如QQ影音）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和rmvb等视音频文件打包压缩包并上传到网上供用户下载。用户一旦下载了这个压缩包，解压播放相应视频的时候从而触发漏洞加载恶意dll文件

5 目前公布的部分软件列表

Google Earth

Nullsoft Winamp 5.581

Media Player Classic 6.4.9.1

Mozilla Thunderbird

Microsoft Office PowerPoint 2007

Adobe InDesign CS4

Nvidia Driver

Adobe Illustrator CS4

Adobe Premier Pro CS4

Skype = 4.2.0.169

TechSmith Snagit 10

Safari v5.0.1

uTorrent

Microsoft Visio 2003

Adobe Photoshop CS2

avast! = 5.0.594

Adobe Dreamweaver CS5

Opera v10.61

Firefox = 3.6.8

四 DLL安全编程，避免产生DLL挟持问题

(1） 调用LoadLibrary， LoadLibraryEx， CreateProcess的，或者 的ShellExecute 等涉及到模块加载的函数的时候，指定DLL加载的完整路径，貌似应该有API可以获取当前程序运行的目录的

（2）考虑使用 的DLL重定向 或 Manifests文件 ，以确保您的应用程序使用正确的DLL。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

（3）确保DLL安全搜索模式被激活。未使用安全搜索设置的话，第二加载项就是当前目录。

HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode

（4）从搜索列表中取消当前目录，可以通过调用SetDllDirectory 参数设置为一个空字符串

dll劫持代码生成模块源码的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于dll劫持检测、dll劫持代码生成模块源码的信息别忘了在本站进行查找喔。