Was ist eigentlich Dll-Hijacking

H

happytreefriend

0
Hallo Leute,

ich hab mich schon seit langem gefragt was genau dll-Hijacking ist. Also was Hijacking generell ist weiß ich ja. Aber was bringt es einem die dll zu klauen?

Würde mich freuen wenn mir das einer ausführlich erklären könnte.
 
Ich kenne es zwar nicht direkt, aber ich würde einfach mal behaupten, dass wenn du jemandem eine DLL unterschiebst, die modifiziert ist (mit veränderten Funktionen, die z.B. deinen eigenen Code ausführen), hast du die DLL "gehijacked".

lG
 
Brabax hat gesagt.:
Ich kenne es zwar nicht direkt, aber ich würde einfach mal behaupten, dass wenn du jemandem eine DLL unterschiebst, die modifiziert ist (mit veränderten Funktionen, die z.B. deinen eigenen Code ausführen), hast du die DLL "gehijacked".

lG
Zum Vergrößern anklicken....

Es hat schon was mit dem modifizieren von dlls zu tun. Aber mich würde interessieren wie der Angriff statt findet.
 
ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?
 
ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?
Zum Vergrößern anklicken....
DLL's arbeiten im "User Mode" des Prozessors (x86). Für diesen ist der Betriebssystem-Kernel nicht zugänglich. Rootkits sind "Erweiterungen" des Betriebssystem-Kernels, die z.B. Funktionen des Kernels manipulieren, so dass etwa Prozesse im Task-Manager nicht zu sehen sind. Dazu müssen sie im "Ring 0" des Prozessors arbeiten, wo üblicherweise Treiber angesiedelt sind. Das können DLLs nicht.
 
josh hat gesagt.:
DLL's arbeiten im "User Mode" des Prozessors (x86). Für diesen ist der Betriebssystem-Kernel nicht zugänglich. Rootkits sind "Erweiterungen" des Betriebssystem-Kernels, die z.B. Funktionen des Kernels manipulieren, so dass etwa Prozesse im Task-Manager nicht zu sehen sind. Dazu müssen sie im "Ring 0" des Prozessors arbeiten, wo üblicherweise Treiber angesiedelt sind. Das können DLLs nicht.
Zum Vergrößern anklicken....

Ich bin mal ganz frech josh und sage falsche Baustelle :wink:
 
Ein rootkit muss nicht unbedingt im niedrigsten Kontext der CPU laufen. Sogenannte "usermode rootkits" erfüllen die Definition im gleiche Sinne, wenn auch nicht so effektiv, da die Möglichkeiten die eigene Präsenz zu verstecken notwendig geringer ausfallen. Ein bekannter Vertreter ist "hxdef" aka Hacker Defender.
 
Zuletzt bearbeitet:
a

a
happytreefriend hat gesagt.:
Hier gings nicht um Rootkits oder dlls sondern um dll-Hijacking.
Zum Vergrößern anklicken....

schüler hat gesagt.:
ich kenne mich in dem thema jetzt nicht so gut aus aber es wäre doch eine möglichkeit die DLLs so zu manipulieren das sie wie ein rootkit funktionieren. ein rootkit kann man ja auch in "treibern" verstecken, also warum nicht auch in DLLs?
Zum Vergrößern anklicken....

josh hat gesagt.:
DLL's arbeiten im "User Mode" des Prozessors (x86). Für diesen ist der Betriebssystem-Kernel nicht zugänglich. Rootkits sind "Erweiterungen" des Betriebssystem-Kernels, die z.B. Funktionen des Kernels manipulieren, so dass etwa Prozesse im Task-Manager nicht zu sehen sind. Dazu müssen sie im "Ring 0" des Prozessors arbeiten, wo üblicherweise Treiber angesiedelt sind. Das können DLLs nicht.
Zum Vergrößern anklicken....
 
Das Problem wird die Sicherheitslösung denk ich mal sein...

Lt. Wiki liegt das Problem beim unsicheren Laden der Dll.

Aber viel Logischer wäre wenn wir sagen würden, dass bestimmte Dlls mit anderen Dlls ersetzt werden die größtenteils Schadcode beinhalten und die Dlls aber auch auf entsprechende Programme konzipiert sind. Somit lässt man dann besser den Schadcode ausführen. Der Grund liegt wohl an dem Programm selber, weil ja sogesehen kein Prog. für jede Dll Datei intern ne Hashtabelle hat für das Überprüfen(o.ä) ob es die richtige/modded Dll ist oder nicht. Wie soll man solch ein Sicherheitsleck füllen? o.O Eine Dll Datei überschreiben ist sogesehen immer machbar außer wenn die Dll gerade in benutzung ist(auch das kann man für kurze Zeit umgehen....)

(Ab Z. 5 bissle Theorie :P)

MfG
Keci
 
Die Lösung des Problems ist einfach, wenn Systemdlls geladen werden sollen, soll man gefälligst auch den vollständigen Pfad angeben. Wenn Softwarehersteller ihren Code in DLLs auslagern, dann sollen sie diesen auch digital signieren.

Schon kann so etwas wie DLL-Hijacking nicht mehr stattfinden.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben