[HaBo]

happytreefriend · 02.11.10, 22:27

Hallo Leute,

ich hab mich schon seit langem gefragt was genau dll-Hijacking ist. Also was Hijacking generell ist weiß ich ja. Aber was bringt es einem die dll zu klauen?

Würde mich freuen wenn mir das einer ausführlich erklären könnte.

Brabax · 02.11.10, 22:40

Ich kenne es zwar nicht direkt, aber ich würde einfach mal behaupten, dass wenn du jemandem eine DLL unterschiebst, die modifiziert ist (mit veränderten Funktionen, die z.B. deinen eigenen Code ausführen), hast du die DLL "gehijacked".

lG

Anzeige

- Anzeige -

happytreefriend · 02.11.10, 23:00

Zitat:

Zitat von Brabax

Ich kenne es zwar nicht direkt, aber ich würde einfach mal behaupten, dass wenn du jemandem eine DLL unterschiebst, die modifiziert ist (mit veränderten Funktionen, die z.B. deinen eigenen Code ausführen), hast du die DLL "gehijacked".

lG

Es hat schon was mit dem modifizieren von dlls zu tun. Aber mich würde interessieren wie der Angriff statt findet.

happytreefriend · 02.11.10, 23:05

http://de.wikipedia.org/wiki/DLL_Hijacking

Oh Mann hätte gleich bei Wikipedia nachschauen sollen

danke Brabax für deine Antwort

overflow · 02.11.10, 23:09

Schau dir auch an was DLL's sind. Könnte auch von nützen sein.

http://de.wikipedia.org/wiki/Dynamic_Link_Library

happytreefriend · 02.11.10, 23:42

Zitat:

Zitat von overflow

Schau dir auch an was DLL's sind. Könnte auch von nützen sein.

http://de.wikipedia.org/wiki/Dynamic_Link_Library

Ich weiß was dlls sind. Ich habe mich nur gefragt wie der Angriff statt findet

schüler · 03.11.10, 12:31

ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?

josh · 03.11.10, 22:58

Zitat:

ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?

DLL's arbeiten im "User Mode" des Prozessors (x86). Für diesen ist der Betriebssystem-Kernel nicht zugänglich. Rootkits sind "Erweiterungen" des Betriebssystem-Kernels, die z.B. Funktionen des Kernels manipulieren, so dass etwa Prozesse im Task-Manager nicht zu sehen sind. Dazu müssen sie im "Ring 0" des Prozessors arbeiten, wo üblicherweise Treiber angesiedelt sind. Das können DLLs nicht.

happytreefriend · 04.11.10, 00:25

Zitat:

Zitat von josh

DLL's arbeiten im "User Mode" des Prozessors (x86). Für diesen ist der Betriebssystem-Kernel nicht zugänglich. Rootkits sind "Erweiterungen" des Betriebssystem-Kernels, die z.B. Funktionen des Kernels manipulieren, so dass etwa Prozesse im Task-Manager nicht zu sehen sind. Dazu müssen sie im "Ring 0" des Prozessors arbeiten, wo üblicherweise Treiber angesiedelt sind. Das können DLLs nicht.

Ich bin mal ganz frech josh und sage falsche Baustelle

josh · 04.11.10, 01:13

???

+++ATH0 · 04.11.10, 02:16

Ein rootkit muss nicht unbedingt im niedrigsten Kontext der CPU laufen. Sogenannte "usermode rootkits" erfüllen die Definition im gleiche Sinne, wenn auch nicht so effektiv, da die Möglichkeiten die eigene Präsenz zu verstecken notwendig geringer ausfallen. Ein bekannter Vertreter ist "hxdef" aka Hacker Defender.

happytreefriend · 04.11.10, 10:43

Zitat:

Zitat von josh

???

Hier gings nicht um Rootkits oder dlls sondern um dll-Hijacking.

b4ck · 04.11.10, 12:17

a

Zitat:

Zitat von happytreefriend

Hier gings nicht um Rootkits oder dlls sondern um dll-Hijacking.

Zitat:

Zitat von schüler

ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?

Zitat:

Zitat von josh

DLL's arbeiten im "User Mode" des Prozessors (x86). Für diesen ist der Betriebssystem-Kernel nicht zugänglich. Rootkits sind "Erweiterungen" des Betriebssystem-Kernels, die z.B. Funktionen des Kernels manipulieren, so dass etwa Prozesse im Task-Manager nicht zu sehen sind. Dazu müssen sie im "Ring 0" des Prozessors arbeiten, wo üblicherweise Treiber angesiedelt sind. Das können DLLs nicht.

Keci · 04.11.10, 20:17

Das Problem wird die Sicherheitslösung denk ich mal sein...

Lt. Wiki liegt das Problem beim unsicheren Laden der Dll.

Aber viel Logischer wäre wenn wir sagen würden, dass bestimmte Dlls mit anderen Dlls ersetzt werden die größtenteils Schadcode beinhalten und die Dlls aber auch auf entsprechende Programme konzipiert sind. Somit lässt man dann besser den Schadcode ausführen. Der Grund liegt wohl an dem Programm selber, weil ja sogesehen kein Prog. für jede Dll Datei intern ne Hashtabelle hat für das Überprüfen(o.ä) ob es die richtige/modded Dll ist oder nicht. Wie soll man solch ein Sicherheitsleck füllen? o.O Eine Dll Datei überschreiben ist sogesehen immer machbar außer wenn die Dll gerade in benutzung ist(auch das kann man für kurze Zeit umgehen....)

(Ab Z. 5 bissle Theorie

)

MfG
Keci

xrayn · 04.11.10, 20:36

Die Lösung des Problems ist einfach, wenn Systemdlls geladen werden sollen, soll man gefälligst auch den vollständigen Pfad angeben. Wenn Softwarehersteller ihren Code in DLLs auslagern, dann sollen sie diesen auch digital signieren.

Schon kann so etwas wie DLL-Hijacking nicht mehr stattfinden.

Anzeige

- Anzeige -

02.11.10, 22:27	#1 (permalink)
happytreefriend Registriert seit: 13.12.09 Likes: 0	Was ist eigentlich Dll-Hijacking Anzeige Hallo Leute, ich hab mich schon seit langem gefragt was genau dll-Hijacking ist. Also was Hijacking generell ist weiß ich ja. Aber was bringt es einem die dll zu klauen? Würde mich freuen wenn mir das einer ausführlich erklären könnte.

02.11.10, 22:40	#2 (permalink)
Brabax Member of Honour Registriert seit: 04.10.01 Likes: 42	Ich kenne es zwar nicht direkt, aber ich würde einfach mal behaupten, dass wenn du jemandem eine DLL unterschiebst, die modifiziert ist (mit veränderten Funktionen, die z.B. deinen eigenen Code ausführen), hast du die DLL "gehijacked". lG __________________ << Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >> << Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >> << Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

02.11.10, 23:09	#5 (permalink)
overflow Registriert seit: 17.01.04 Likes: 16	Schau dir auch an was DLL's sind. Könnte auch von nützen sein. http://de.wikipedia.org/wiki/Dynamic_Link_Library __________________ Hackerboard.de - [HaBo] ist bei Facebook.

04.11.10, 02:16	#11 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Ein rootkit muss nicht unbedingt im niedrigsten Kontext der CPU laufen. Sogenannte "usermode rootkits" erfüllen die Definition im gleiche Sinne, wenn auch nicht so effektiv, da die Möglichkeiten die eigene Präsenz zu verstecken notwendig geringer ausfallen. Ein bekannter Vertreter ist "hxdef" aka Hacker Defender. Geändert von +++ATH0 (04.11.10 um 02:19 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

02.11.10, 23:05	#4 (permalink)
happytreefriend Themenstarter Registriert seit: 13.12.09 Likes: 0	http://de.wikipedia.org/wiki/DLL_Hijacking Oh Mann hätte gleich bei Wikipedia nachschauen sollen danke Brabax für deine Antwort

03.11.10, 12:31	#7 (permalink)
schüler Registriert seit: 06.10.10 Likes: 0	ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?

04.11.10, 01:13	#10 (permalink)
josh Registriert seit: 21.08.10 Likes: 3	???

04.11.10, 20:17	#14 (permalink)
Keci Registriert seit: 12.06.08 Likes: 0	Das Problem wird die Sicherheitslösung denk ich mal sein... Lt. Wiki liegt das Problem beim unsicheren Laden der Dll. Aber viel Logischer wäre wenn wir sagen würden, dass bestimmte Dlls mit anderen Dlls ersetzt werden die größtenteils Schadcode beinhalten und die Dlls aber auch auf entsprechende Programme konzipiert sind. Somit lässt man dann besser den Schadcode ausführen. Der Grund liegt wohl an dem Programm selber, weil ja sogesehen kein Prog. für jede Dll Datei intern ne Hashtabelle hat für das Überprüfen(o.ä) ob es die richtige/modded Dll ist oder nicht. Wie soll man solch ein Sicherheitsleck füllen? o.O Eine Dll Datei überschreiben ist sogesehen immer machbar außer wenn die Dll gerade in benutzung ist(auch das kann man für kurze Zeit umgehen....) (Ab Z. 5 bissle Theorie ) MfG Keci

04.11.10, 20:36	#15 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Die Lösung des Problems ist einfach, wenn Systemdlls geladen werden sollen, soll man gefälligst auch den vollständigen Pfad angeben. Wenn Softwarehersteller ihren Code in DLLs auslagern, dann sollen sie diesen auch digital signieren. Schon kann so etwas wie DLL-Hijacking nicht mehr stattfinden.

[HaBo]

Was ist eigentlich Dll-Hijacking