Dll Hijack Detect: Η πειρατεία των DLL αρχείων (DLL hijacking) είναι ένα είδος χακαρίσματος σε υπολογιστή το οποίο εξαναγκάζει τα προγράμματα να φορτώσουν κακόβουλες βιβλιοθήκες δυναμικής σύνδεσης (Dynamic Link Library), αντί των προβλεπομένων (δηλαδή των καθαρών και επίσημων) βιβλιοθηκών σε ένα σύστημα των Windows.
Τα προγράμματα που εσωτερικά τους δεν προσδιορίζουν τις νόμιμες διαδρομές προς τις βιβλιοθήκες είναι ευάλωτα σε πειρατικά DLL καθώς τα Windows σε αυτή την περίπτωση χρησιμοποιούν μια προτεραιότητα με βάση σειρά αναζήτησης για να φορτώσουν τις βιβλιοθήκες.
Αν οι επιτιθέμενοι καταφέρουν να τοποθετήσουν κακόβουλες βιβλιοθήκες σε μια τοποθεσία με υψηλή προτεραιότητα, τότε αυτή η βιβλιοθήκη έχει πολλές πιθανότητες να φορτωθεί από την εφαρμογή.
Επειδή ίσως να έχετε μπερδευτεί στιγμής, ας το ξαναπούμε με απλά λόγια: Τα Windows έχουν κάποιες συγκεκριμένες διαδρομές προς φακέλους που ψάχνουν εκεί να βρουν διάφορα αρχεία, ρουτίνες και βιβλιοθήκες. Η σειρά που ψάχνουν τους φακέλους έχει προτεραιότητες, δηλαδή πρώτα θα ψάξουν στο c:\windows\system32\ , αν δεν βρουν τίποτα σχετικό θα πάνε στο c:\windows\system\ κλπ κλπ. Βέβαια η αναζήτηση αυτή θα γίνει μόνο αν οι προγραμματιστές που έφτιαξαν κάποιο πρόγραμμα δεν αναφέρουν ακριβώς στο πρόγραμμα που να ψάξει να βρει μία βιβλιοθήκη (που αν είναι εξειδικευμένη τότε συνήθως είναι εντός του φακέλου που έχει εγκατασταθεί το πρόγραμμα) , αλλά απλά του λένε βρες το τάδε dll αρχείο. Οι hakers γνωρίζοντας αυτή την λεπτομέρεια προσπαθούν να τοποθετήσουν στο υπολογιστή σας χακαρισμένα dll αρχεία με κακόβουλο λογισμικό σε θέσεις με υψηλή προτεραιότητα αναζήτησης για τα Windows.
Δυστυχώς οι χρήστες δεν μπορούν να κάνουν τίποτα γι ‘αυτό καθώς δεν είναι πάντα σαφές αν οι διαδρομές προς τους φακέλους έχουν ρυθμιστεί σωστά ή όχι, σε εφαρμογές που τρέχουν στο σύστημα. Εναπόκειται στους προγραμματιστές να βεβαιωθούν ότι τα μονοπάτια στα προγράμματα έχουν ρυθμιστεί σωστά πριν τα δώσουν στο κοινό για κατέβασμα.
Βέβαια, ως τελικός χρήστης, μπορείτε να χρησιμοποιήσετε διάφορα προγράμματα ελέγχου, όπως το Dll Hijack Detect, για να σαρώσετε τον ηλεκτρονικό υπολογιστή σας για πιθανά χακαρίσματα.
Το πρόγραμμα Dll Hijack Detect εντοπίζει όλα τα DLLs αρχεία που έχουν φορτωθεί από τις διεργασίες που εκτελούνται εκείνη την στιγμή στο σύστημα. Επίσης επιθεωρεί όλες τις τοποθεσίες που περιέχουν βιβλιοθήκες και που θα μπορούσαν να τοποθετηθούν κακόβουλα αρχεία, ελέγχει αν μία φορτωμένη βιβλιοθήκη εμφανίζεται πολλές φορές σε διάφορους φακέλους, καθορίζει ποια βιβλιοθήκη φορτώνεται αυτή τη στιγμή και τέλος σας προειδοποιεί αν είναι δυνατόν να χακαριστείτε.
Δεν είναι απαραίτητο κάθε εύρημα να είναι και λάθος. Τα παραπάνω ευρήματα, για παράδειγμα, είναι καθαρά, ακόμη και αν οι βιβλιοθήκες έχουν βρεθεί σε πολλαπλές θέσεις στο σύστημα.
Το πρόγραμμα υποστηρίζει την παράμετρο /unsigned με την οποία αγνοεί τα signed DLL αρχεία και έτσι μειώνει σημαντικά την ροή των αποτελεσμάτων.
Έχετε υπόψη σας ότι το πρόγραμμα Dll Hijack Detect είναι open source, δωρεάν, και εργάζεται κάτω από το γραμμή εντολών (command prompt). Δείτε παρακάτω τις οδηγίες χρήσης του:
- Κατεβάστε την 86-bit ή 64-bit έκδοση του Dll Hijack Detect ανάλογα με το υπολογιστή που διαθέτετε. Προτιμήστε το αντίστοιχο exe αρχείο.
- Τοποθετήστε το εκτελέσιμο exe αρχείο σε ένα φάκελλο στον υπολογιστή σας.
- Πατήστε το πλήκτρο των Windows, και πληκτρολογήστε στη αναζήτηση (Search programs and files) την λέξη cmd.exe , κάντε δεξί κλικ στο αποτέλεσμα και επιλέξτε “Εκτέλεση ως διαχειριστής” για να ανοίξετε μια γραμμή εντολών με αυξημένα προνόμια.
- Μεταβείτε στην τοποθεσία που έχετε τοποθετήσει το πρόγραμμα.
- Εκτελέστε dll_hijack_detect_x64.exe ή dll_hijack_detect_x86.exe χωρίς παραμέτρους, για να σαρώσετε το σύστημα.
- Αν θέλετε, μπορείτε να προσθέσετε στο τέλος της εντολής το /unsigned για να σας δείξει τα ευάλωτα DLL αρχεία, αν φυσικά υπάρχει έστω και ένα από αυτά που είναι ανυπόγραφο.
Το μόνο που μένει να κάνετε είναι να δείτε τα αποτελέσματα και μετά να τα ελέγξετε ένα προς ένα για να διαπιστώσετε αν τα DLL αρχεία σας στο σύστημα σας είναι χακαρισμένα.
Συμβουλή : Μπορείτε να προσθέσετε στο τέλος της εντολής στο command prompt το “> C:\apotelesmata.txt” (χωρίς τα ” “) για να αποθηκεύσετε τα αποτελέσματα στο αρχείο APOTELESMATA.TXT που θα βρίσκεται στην αρχη του C: .
Σημείωση : Μπορεί να χρειαστεί να εγκαταστήσετε το Visual C++ Redistributable Packages for Visual Studio 2013 για να τρέξει το πρόγραμμα.
Κατεβάστε το Dll Hijack Detect από εδώ.