一种基于WindowsDLL劫持的靶场环境中靶标设计方法技术

本发明专利技术公开了一种基于Windows DLL劫持的靶场环境中靶标设计方法，该方法包括如下步骤：(1)主机端目标应用程序及安装目录选取；(2)使用AheadLib工具编写若干条DLL文件，并形成列表；(3)在目标安装目录下进行DLL文件的复制与删除；(4)运行目标应用程序并通过进程分析软件确定被劫持的DLL文件，实现DLL劫持目的，进而对主机进行提权等操作。本发明专利技术基于已有的DLL劫持漏洞信息，构建可劫持DLL列表，通过进程监控工具的辅助，实现了一种在靶场环境下的DLL劫持方法，并基于此构建完整的靶标，从而对不同操作系统版本的主机进行安全分析，构建更加高效完备的Windows安全防护体系。建更加高效完备的Windows安全防护体系。建更加高效完备的Windows安全防护体系。

【技术实现步骤摘要】
一种基于Windows DLL劫持的靶场环境中靶标设计方法


[0001]本专利技术涉及Windows操作系统安全防护
，具体涉及一种基于Windows DLL劫持的靶场环境中靶标设计方法。

技术介绍

[0002]随着个人电脑的快速普及，Windows操作系统迅速占领市场，总体份额也在不断提升。调研机构Netmarketshare发布的数据显示，2020年微软Windows操作系统整体维持在86.69％的市场份额，而从桌面操作系统的变化趋势来看，Windows至今仍有着近乎垄断的地位。Windows操作系统凭借着易用性和人性化的操作界面，几乎统治了PC端。然而，其自身设计所存在的安全问题也随之不断凸显，威胁系统和用户的安全。Forbes报道称，根据Beyond Trust的研究，2020年与微软产品相关的漏洞总数比2019年增加了48％。2020年，微软产品在产品脆弱性排名前十的产品中占据了七席，Windows 10的漏洞最多，有802个，紧随其后的是Windows Server 2016的790个和Windows Server 2019的743个。2021年的平均常见漏洞和暴露危险度评级高于2020年，分别为7.54和7.42，这两种情况都属于高度严重类别。
[0003]在众多漏洞类型中，DLL劫持漏洞自2010年被微软披露以来，一直屡禁不止。作为Windows系统的核心组件之一，动态链接库(Dynamic Link Library，简称DLL)用于提高软件开发人员的软件编写水平和软件运行效率，不仅可以提高内存使用效率，也可以实现对关键技术的保护，但也引入了较大的漏洞利用面。DLL劫持是指如果进程尝试加载一个DLL时没有指定DLL的绝对路径，则系统会尝试去指定的目录下查找这个DLL。当黑客把恶意的DLL文件放在优先于正常DLL所在的目录时，就能够欺骗系统优先加载恶意DLL，从而实现“劫持”效果，导致恶意代码执行。漏洞收录平台CVE和CNVD上与DLL劫持漏洞相关的条目高达几百条，而利用该漏洞对Windows操作系统进行恶意破坏的行为也层出不穷，影响系统稳固，威胁用户安全。然而目前针对DLL劫持漏洞的安全研究较少，并且不同的操作系统环境也会影响漏洞的分析效率。因此亟需找到一种切实有效的针对Windows DLL劫持漏洞的分析环境与方法，研究DLL劫持对具体应用程序的影响和危害。
[0004]在网络破坏愈演愈烈，呈现高科技、有组织和频繁化特征的背景下，网络靶场应运而生。网络靶场是一种基于虚拟化技术，对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品，以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为，从而提高人员及机构的网络安全对抗水平。在网络靶场中进行网络安全活动，不仅可以避免对现实资源的占用和消耗，还可以做到对资源的反复利用。每一次安全试验造成的伤害程度都是可控的、可检测的，试验结束后还能够对收集的试验数据进行分析和研究。目前网络靶场发展迅速，行业覆盖范围广，任务丰富且应用广泛，已经成为安全研究人员进行漏洞分析与研究的必要环境之一。在这样的背景下，将Windows DLL劫持漏洞放置到靶场中，形成一个可实际分析研究的靶标，成为针对该问题进行深入研究的一种新形式。因此目前亟需分析Windows DLL劫持漏洞的具体信息，主要是在
网络靶场的环境下，分析Windows不同版本对于该漏洞触发的影响，研究应用程序在调用恶意的DLL文件时的行为，并最终在伪造的DLL文件中加入特定代码，执行具体功能，验证DLL劫持漏洞的触发效果，最终形成具体靶标，实现对DLL劫持的全方位分析研究，进而对Windows操作系统进行综合性的安全评估，保障整个计算机系统的安全和稳固。

技术实现思路

[0005]本专利技术目的在于针对上述现有技术的不足，提出了一种基于Windows DLL劫持的靶场环境下的靶标设计方法，该方法研究不同操作系统版本对DLL劫持漏洞触发的影响，基于已有的DLL劫持漏洞所涉及的DLL文件，针对靶场环境下的主机进行应用程序列举和目前安装目录选取，分析DLL劫持对于具体应用程序的影响和危害，进而评估应用程序和操作系统的安全性。
[0006]本专利技术解决其技术问题所采取的技术方案是：一种基于Windows DLL劫持的靶场环境下的靶标设计方法，该方法包括如下步骤：
[0007]步骤1：主机端目标应用程序及安装目录选取，在靶场环境下针对目标主机，使用命令行进行应用程序的列举，同时获取每个应用程序所在安装目录；
[0008]步骤2：使用AheadLib等工具编写若干条DLL文件，每条DLL文件中加入基础的弹窗操作，并根据目前已知的DLL劫持漏洞中所涉及的DLL文件名，对伪造的DLL分别进行命名，最终以列表形式列出所有DLL；
[0009]步骤3：在目标安装目录中进行DLL文件的复制与删除，根据安装目录的操作权限来选取目标安装目录，并根据主机操作系统版本的不同，在目标安装目录下对伪造的DLL文件列表进行复制与删除操作；
[0010]步骤4：运行目标应用程序并通过进程分析软件确定被劫持的DLL文件，实现DLL劫持目的，进而对主机进行提权等操作。
[0011]进一步地，本专利技术步骤1中主机端目标应用程序及安装目录选取，在靶场环境下针对目标主机，使用命令行进行应用程序的列举，同时获取每个应用程序所在安装目录，包括：
[0012]步骤1
‑
1：安装目录列举，在主机中的命令行模式下，列出所有已安装的应用程序，并获取每个应用程序的安装目录以及对应的操作权限；
[0013]步骤1
‑
2：目标安装目录选取，将应用程序按照安装目录所需权限的不同进行分类，非管理员权限操作的安装目录作为后续进行DLL劫持研究的目标安装目录集。
[0014]进一步地，本专利技术步骤2中，使用AheadLib工具编写若干条DLL文件，每条DLL文件中加入基础的弹窗操作，并根据目前已知的DLL劫持漏洞中所涉及的DLL文件名，对伪造的DLL分别进行命名，最终以列表形式列出所有DLL，包括：
[0015]步骤2
‑
1：搜集目前已知的DLL劫持漏洞以及每个漏洞中涉及到的DLL文件名，作为可被劫持的DLL文件集；
[0016]步骤2
‑
2：使用AheadLib工具编写DLL文件，加入MessageBox弹窗函数，并将文件命名为可被劫持的DLL文件集中的DLL文件名，对DLL文件集实现伪造；
[0017]步骤2
‑
3：将伪造出的所有DLL文件汇总，以列表的形式给出，命名为测试DLL文件集。
[0018]进一步地，本专利技术步骤3中，在目标安装目录中进行DLL文件的复制与删除，根据安装目录的操作权限来选取目标安装目录，并根据主机操作系统版本的不同，在目标安装目录下对伪造的DLL文件列表进行复制与删除操作，包括：
[0019]步骤3
‑<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于Windows DLL劫持的靶标设计方法，其特征在于：所述方法包括如下步骤：步骤1：主机端目标应用程序及安装目录选取，在靶场环境下针对目标主机，使用命令行进行应用程序的列举，同时获取每个应用程序所在安装目录；步骤2：使用AheadLib工具编写若干条DLL文件，每条DLL文件中加入基础的弹窗操作，并根据目前已知的DLL劫持漏洞中所涉及的DLL文件名，对伪造的DLL分别进行命名，最终以列表形式列出所有DLL；步骤3：在目标安装目录中进行DLL文件的复制与删除，根据安装目录的操作权限来选取目标安装目录，并根据主机操作系统版本的不同，在目标安装目录下对伪造的DLL文件列表进行复制与删除操作；步骤4：运行目标应用程序并通过进程分析软件确定被劫持的DLL文件，实现DLL劫持目的，进而对主机进行提权等操作。2.根据权利要求1所述一种基于Windows DLL劫持的靶标设计方法，其特征在于：所述步骤1包括：步骤1
‑
1：安装目录列举，在主机中的命令行模式下，列出所有已安装的应用程序，并获取每个应用程序的安装目录以及对应的操作权限；步骤1
‑
2：目标安装目录选取，将应用程序按照安装目录所需权限的不同进行分类，非管理员权限操作的安装目录作为后续进行DLL劫持研究的目标安装目录集。3.根据权利要求1所述一种基于Windows DLL劫持的靶标设计方法，其特征在于：所述步骤2包括：步骤2
‑
1：搜集目前已知的DLL劫持漏洞以及每个漏洞中涉及到的DLL文件名，作为可被劫持的DLL文件集；步骤2
‑
2：使用AheadLib工具编写DLL文件，加入MessageBox弹窗函数，并将文件命名为可被劫持的DLL文件集中的DLL文件名，对DLL文件集的伪造；步骤2
‑
3：将伪造出的所有DLL文件汇总，以列表的形式给出，命名为测试DLL文件集。4.根据权利要...

【专利技术属性】
技术研发人员：沙乐天，陈霄，
申请(专利权)人：南京萌草信息技术有限公司，
类型：发明
国别省市：