前言

一、前置知识

二、DLL劫持浅谈

1.利用场景

通过劫持DLL内的函数执行恶意代码，以白加黑的形式绕过杀软对目标主机植入后门或注入进程等，即把反弹shell的代码写到DLL文件中，然后替换应用程序原始DLL。

2.劫持对象

(1)Windows系统DLL

对于Windows系统DLL，如果应用程序没有指定加载DLL的绝对路径或者清单形式来控制加载DLL的位置，就可能被劫持系统DLL，但此方法有前置条件且劫持难度稍大，这里暂且不延伸。

(2)厂商自研DLL

由于DLL搜索路径特点，以及软件厂家自研的DLL一定是从应用程序所在目录加载的，所以只需将恶意DLL替换原始DLL即可完成劫持。以下针对该方法进行复现。

三、场景复现

1.首先随意找个有白签名的软件

2.DLL文件好多，不知道哪个是自研DLL，没关系，直接将exe文件复制到目录外运行，可以发现由于应用程序在桌面上，windows搜索desktop目录并没有找到LingleSDK.dll，产生以下报错，用这个方法可以快速定位厂商自研DLL。

3.用AheadLib x64工具即时调用函数导出cpp，导出LingleSKD.dll，原始DLL就默认叫LingleSDKOrg好了

4.使用vs2019新建一个DLL工程，调成Debug，x64，使用函数转发的方式建议改成静态编译，不然程序运行会有报错，项目-属性-C/C++-代码生成-运行库-多线程(/MT) 

5.将新建的LingleSDK.cpp文件内的代码直接复制到dllmain.cpp中，直接找到导出函数，为了方便，直接将所有导出函数都改成弹窗测试代码：

MessageBoxA(NULL,”DLL test”,”DLL test”,NULL);

实战中的反弹shell、创建进程或下载文件等利用方式原理相同不做延伸；

6.framework.h内容如下：

#pragma once

#define WIN32_LEAN_AND_MEAN

#include <windows.h>

7.pch.h内容如下：

#ifndef PCH_H

#define PCH_H

#include "framework.h"

#include <Windows.h>

#include <stdlib.h>

#endif

8.pch.cpp内容如下

#include "pch.h"

9.上述都替换完成后，点击生成-生成解决方案，根据dll文件生成的路径找到dll文件

10.将应用程序原始的LingleSDK.dll改名成LingleSDKOrg.dll，将新生成的Dll1.dll文件，名字改成LingleSDK.dll放到应用程序目录下

11.劫持成功

对于Windows系统DLL劫持，微软已经做了多年斗争了，有兴趣了解的同学可以查看官方文档了解：

https://docs.microsoft.com/zh-cn/windows/win32/dlls/dynamic-link-library-search-order?redirectedfrom=MSDN

从厂商角度对于自研DLL目前推荐两种防御方式：

1.程序运行前校验自身MD5值，不一致就不运行

2.对自研DLL文件打上白签名

以上通过判断厂商自研DLL，通过工具转发函数改写代码的方式是DLL劫持最快速、易实现的方法，高阶方法可关注后续文章或自行研究。

复现过程中有很多技术点是我们可以自己拓展，研究并提升自身能力的，比如函数转发工具的自研，如何劫持系统DLL，劫持DLL后如何利用，这都是需要我们不断深入学习、探索以及发现的，只有深入研究攻击原理，拓宽视野才能在各种复杂的攻防场景中从容应对。

感谢收看的各位看官，下期不见不散。

－更多精彩，请关注下方公众号－