防劫持电脑系统有哪些_防劫持软件

2024-07-24 06:10:56

1.DNS配置错误是运行商的网络故障还是电脑DNS设置问题？怎么解决？

2.如何解决并预防IFEO系统文件镜像劫持

3.世界系统安全软件排行榜(使用最良心的电脑安全软件)

4.dll劫持的如何防止DLL劫持

5.国内目前最良心的安全软件

防劫持电脑系统有哪些_防劫持软件

建议升级系统：推荐Win7旗舰版

另注：如果你十分偏爱XP系统，换别的系统嫌麻烦，那么你可以继续无限期的使用该系统，直到你不想用为止，原因是：奇虎3 6 0和腾讯Q Q两家软件公司所属的3 6 0安全卫士和Q Q电脑管家，都承诺：将永久为使用Windows-XP的用户提供无限期的、永久的Windows-XP的漏洞补丁以及安全升级，保证用户能永久使用Windows-XP（当然我们知道这个“永久”，实际肯定也是有期限的，终究有一天绝大多数用户会放弃Windows-XP系统升级等到更好的系统，但以后相当长的一段时间，他们是会提供给Windows-XP用户漏洞补丁以及安全升级的，所以尽可放心使用。）

关于系统的选择，我做了以下详细的说明，请参考：

装Windows系统通常是以下几种：

1.Windows XP、 2.Windows Vista-32位、 3.Windows Vista-64位、 4.Windows 7-32位、 5.Windows 7-64位、 6.Windows 8-32位、 7.Windows 8-64位、 8.Windows 8.1-32位、 9.Windows 8.1-64位。

至于装哪种系统更好用，更适合你的电脑，要根据你的电脑的具体配置（主要是：CPU和内存）来判断，下面我给你逐一进行分析各个系统的优劣：

Windows XP：这曾经是微软史上最好的、最受欢迎、最受好评的可以说空前绝后的系统，虽然，XP系统对电脑配置的要求很低，基本现在所有的电脑都支持安装该系统，可它太老旧了，到2014年4-5月份微软就正式停止为XP系统提供技术支持和漏洞补丁更新了，XP就基本被淘汰了。而且XP不支持4GB内存，不支持AHCI硬盘模式，不支持Direct10或者Direct11，还有诸多不支持就不在此一一罗列了，所以肯定不建议再选用了。（但对于配置很低、很老旧的电脑来说，安装XP还是个很实际的选择，因为毕竟XP系统占用内存极低，可保证这些低配置的旧电脑顺畅运行。）

{如果电脑内存：小于1GB，建议选择XP系统！}

Windows Vista-32位和Windows Vista-64位：被誉为微软世上最烂的操作系统，对电脑的配置的要求：CPU单核心奔腾4以上，内存满足1GB或者以上即可。Vista唯一可以称为优点的方面是比Windows-XP安全性上有所提高，但付出的代价却是响应速度慢，兼容性极其差，而且如果不关闭UAC功能的话，你在执行很多程序的时候，会频繁弹出对话框，令人不胜其烦，但关闭UAC功能又降低了安全性，而这方面，Win7和Win8都做得更好，所以强烈建议不要选择安装Windows Vista-32位和Windows Vista-64位系统。

{该系统可以被忽略，强烈不建议安装，除非你有特殊用途！}

Windows7-32位：Win7-32位系统对电脑的配置的要求：CPU单核心奔腾4以上既可，但最是好双核以上的CPU（只要满足双核心即可）和至少2GB或者2GB以上的内存。虽然该系统支持AHCI硬盘模式，支持Direct10或者Direct11，但此系统最大只支持3.25GB内存，显然装这个系统，将不能发挥4GB或者超过4GB的内存的电脑的最佳功效。

{如果电脑CPU奔腾4以上，内存：在1GB-3GB之间，建议选择Windows7-32位}

Windows7-64位：Win7-64位系统对电脑的配置的要求：需要双核以上的CPU（只要满足双核心即可）和至少4GB或者4GB以上的内存。此系统为目前Windows系统里最好的系统，最主流的系统，游戏兼容性好，在“属性”栏中有兼容性选项，可以设置向下兼容多种低级系统，并且支持虚拟DOS程序的运行，可以虚拟运行DOS时代的游戏，这些都大大提高了此系统的兼容性；完美支持4GB及以上的内存，并且最大能支持128GB的内存；支持AHCI硬盘模式；支持Direct10，并最高支持到最新的Direct11；而且目前绝大部分主流软件、硬件厂商都支持该系统，并且主要面向该系统开发相应软件。Win7甚至被誉为下一个WinXP式的。

{超级推荐：如果你的电脑配置符合双核以上的CPU（只要满足双核心即可）和至少4GB或者4GB以上的内存的要求，强烈建议楼主选装Win7-64位旗舰版的系统！}

Windows 8-32位和Windows 8-64位，Win8是微软偏于面向平板电脑及触摸屏设备设计的一款系统：其对电脑的配置的要求基本和Win7-32位与64位一样的，甚至还可以略低于Win7系统所要求的配置。但此系统初上市口碑就不高，甚至有人预测它将是下一个Vista。做为一个新系统，还不为大多数软件、硬件厂商所支持，整个系统还在完善阶段，还很不成熟，个人感觉很不好用。

{建议暂缓安装使用Win8系统，如果非得想装，不如直接装Win-8.1系统！}

Windows 8.1-32位、Windows 8.1-64位，Windows 8.1是微软公司在2012年10月推出Windows 8之后，微软着手开发Windows 8的更新包，是对Win8的改进版，其对电脑的配置的要求基本和Win8-32位与64位一样的。在代号为“Blue”的项目中，微软将实现操作系统升级标准化，以便向用户提供更常规的升级。Windows 8.1具有承上启下的作用，为未来的Windows9铺路。Windows 8.1中，微软发布了与Windows 8有区别的多个重要更新。微软公司于北京时间2013年6月27日正式发布Windows 8.1预览版，9月11日，Windows 8.1 RTM/VS 已可在 MSDN/TechNet 订阅下载，与此同时,微软宣布 MSDN 和 TechNet 订阅用户已经可以下载 Windows 8.1 RTM 版,也有 Windows Server 2012 R2 RTM 版，同时,开发者也可以下载 Visual Studio 2013 RC 版。本人装过了Win8.1-64位，感觉性能尚可，比Win8好很多，但是缺点是：软件兼容性还较差。

{如果想尝鲜，而且CPU为双核以及以上，内存为4GB以及以上，可以选择Windows 8.1系统}

如有疑问，请追问，必复！

如满意，请给我一个纳，谢谢！！

DNS配置错误是运行商的网络故障还是电脑DNS设置问题？怎么解决？

dns有可能被劫持需要进行dns防护，修复方法为：

使用设备：DELL笔记本电脑

使用系统：Windows10家庭中文版

1、在域名管理页面中，选择修改DNS进入。

2、在“DNS修改”弹窗中，选择修改DNS服务器进入。

3、在DNS修改窗口中，输入两个新的dns，选择确认进入。

4、在“请确认该操作”弹窗中，输入短信验证码即可了，如下图所示。

如何解决并预防IFEO系统文件镜像劫持

DNS配置错误，有可能是运行商的网络故障，也有可能是电脑DNS设置问题，需要逐一排查。

解决办法如下：

一、DNS服务器端的解决办法：

用户申请安装宽带上网服务时，网络服务商工作人员会提供或设置合适的DNS服务器地址。如果以前DNS服务正常，现在提示配置错误，则有可能是DNS服务器出现故障，或这个DNS服务器受到攻击，其DNS服务被劫持，这时需要及时向网络服务商客服报修。而在等待其处理过程中，还可自行更改其它正常的DNS服务器。如以下所列：

A、DNSPod DNS+：DNSPod的 Public DNS+是目前国内第一家支持ECS的公共DNS，是DNSPod推出的公共域名解析服务，可以为全网用户提供域名的公共递归解析服务！

DNS 服务器 IP 地址：

首选：119.29.29.29

备选：182.254.116.116

B、114DNS：国内用户量巨大的DNS，访问速度快，各省都有节点，同时满足电信、联通、移动各运营商用户，可以有效预防劫持。

DNS 服务器 IP 地址：

首选：114.114.114.114

备选：114.114.114.115

C、阿里 AliDNS：阿里公共DNS是阿里巴巴集团推出的DNS递归解析系统，目标是成为国内互联网基础设施的组成部分，面向互联网用户提供“快速”、“稳定”、“智能”的免费DNS递归解析服务。

DNS 服务器 IP 地址：

首选：223.5.5.5

备选：223.6.6.6

二、路由器端的解决办法：

如果只是路由器端DNS配置错误（如DNS服务器端地址发生了改变）或用户路由器受到攻击导致DNS劫持，则需要及时修改路由器登录密码并将配置错误或被劫持的DNS服务器地址修改为正确的地址。同时，还要通过安装安全软件进行防DNS劫持。其具体操作为：

（1）输入路由器IP地址：在浏览器地址栏内输入路由器IP地址（可参阅路由器说明书或查看路由器背面铭牌上的说明），如：192.168.1.1，并回车。

（2）登录路由器：进入路由器登录界面后，输入登录帐号、密码（可参阅路由器说明书或查看路由器背面铭牌上的说明），一般均为：admin或boot。如果原来使用的是默认帐户和密码，则需要进行修改，并做好记录。

（3）设置DHCP：选择进入DHCP服务器选项卡，点选“启用”DHCP，设置好IP地址（地址池开始地址和结束地址可按默认值设置，其最大限值一般为192.168.1.2~192.168.1.255，192.168.1.1保留为网关）、网关（一般就是路由器的IP地址如本例中的192.168.1.1）、DNS服务器地址（不同地区适用的DNS服务器地址不同，最好根据网络服务商提供的设置，也可设置为上述提供的公共DNS服务器）等相关参数并保存。

（4）重启路由器：设置完成后，要重启路由器才能生效，重启方法，在系统工具下面，选择“重启路由器”这一项即可。

三、电脑端的解决办法：

如果只是用户电脑DNS配置错误或受到攻击导致DNS劫持或DNS服务器设置错误，则在加强电脑端安全防护的同时，及时修改被篡改的DNS服务器地址。具体操作如下：

以WIN7无线网络设置为例：

（1）点击 “控制面板”——“网络和INTERNET”——“查看网络状态和任务”，选择连接了但无法上网的无线网络连接，在弹出窗口中点击其“属性”；

（2）点击无线网络连接属性窗口中的“Internet协议（TCP/IPv4）——属性”；

（3）在“常规”选项卡"使用下面的IP地址"和“使用下面的DNS服务器地址”中配置好正确的IP地址、网关及DNS等参数（具体参数可查看路由器说明书或电话问询宽带供应商；如果路由器设置打开了DCHP，可自动分配正确的IP地址的话，则可将IP地址及DNS等均设置为“自动搜索获得”）。

（4）通过安全软件如360安全卫士加强DNS安全防护。定期使用安全软件进行电脑体检、全盘查杀木马、等操作。

世界系统安全软件排行榜(使用最良心的电脑安全软件)

一，什么是映像胁持（IFEO）？

所谓的IFEO就是Image File Execution Options

在是位于注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改

:如何解决并预防IFEO？方法一：限制法

此方法经测试非常有效，即使中毒了，工具仍然能运行，如SREng,这样的就方便清除，所以强烈推荐一般用户操作一次

它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。

开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）

然后还是展开到： )

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

右键——选择权限把权限改为拒绝即可.

方法二:

把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下面除了Your Image File Name Here without a path以外的所有项删除即可。

三，映像胁持的基本原理：　

NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。

当然，把这些键删除后，程序就可以运行！

dll劫持的如何防止DLL劫持

第一段，火绒安全

在流氓时代，还是有一些软件在默默耕耘，只不过被用户用得更方便快捷而已。今天安利的这个软件3354火绒是我默默用了几年的一个。无论是工作电脑还是个人电脑，我都坚持使用这个软件。给我的感觉是3354就像我之前说的那样安静强大。

软件功能：

敬业，极度低调，只为巩固安全防线。

简单易用，一键安装，公共用户可以获得安全保护，编写规则，分析，电脑极客也可以玩玩。

反正学长用短短几个字总结了自己的感受：安静，安全，轻薄小巧，简单。

安静：这简直就是痛点。tinder是安全的，没有任何打扰用户的弹窗和带有广告推广性质的绑定的行为。此外，它还具有特殊的弹出拦截功能，可以禁止软件的弹出。给你看看我的拦截。我现在打开电脑几乎没有弹出窗口，弹出的都是我允许的软件。

安全：火绒安全的杀毒效果也是经过大神们的各种测试后一致叫好，精通查杀和控制。

杀灭

一键扫描查杀。基于 quot全面炮击 quot和 quot行为沙盒 quot不受断网影响。杀灭结果可以说明：能准确指出样本是的依据，杀灭结果可控；误报率低，软件兼容性好。

保护中心

18项重要防护功能，有效防御、木马、流氓软件、恶意网站等。

文件实时监控：运行前及时扫描程序，拦截。

u盘保护：第一时间扫描连接电脑的u盘。

应用加固：保护浏览器、办公软件、设计软件等程序。

软件安装拦截：实时监控并提示软件安装行为。

浏览器保护：保护你常用的浏览器和搜索引擎不被篡改。

网络入侵拦截：防止和黑客通过系统漏洞进入计算机，解析攻击源的IP地址。

破解攻击保护：防止黑客通过弱密码闯入系统。

访问控制

自定义自己电脑的访问权限，让自己可以完全控制自己的电脑，不被他人随意使用。

控制互联网的时间有长有短。

限制对指定网站的访问。

限制程序运行。

管理u盘的访问权限。

安全工具

提供实用的系统和网络管理工具。

弹窗拦截：拦截讨厌的弹窗。

漏洞修复：及时修复系统高危漏洞。

启动项目管理：管理启动项目，优化启动时间。

文件粉碎：强制删除或完全粉碎用户没有的文件不需要。

下面是tinder当天实时发现的全球电脑。

这个软件真香。谁用谁知道

第二，Windows Defender

其实大家都知道，Windows S10自带杀毒软件，也就是Windows Defender。

Windows Defender曾被称为微软反间谍软件，是微软为自己的Windows操作系统开发的一款杀毒软件。Windows Defender的测试版于2005年1月6日发布，它已经内置在Win7的系统中。Win10时代，微软强制安装。它不仅可以扫描系统，还可以实时监控系统。

可惜微软吃力不讨好。Windows Defender # 039的中毒报告水平非常 quot强大 quot。即使是一个小小的激活工具，也是在没有用户的情况下直接被杀死的同意。这是一款完美的安全软件吗？更不用说阻止流氓软件的流氓行为了，Windows Defender都没有甚至没有！

第三段，联想电脑管家

联想电脑管家

联想电脑管家专注于联想设备的健康，提供按需服务，建立联想与用户的紧密联系，持续为用户提供价值。

联想电脑管家是联想PC核心软件团队精心打造的一款软件，专注于联想设备的健康与安全。带电脑体检，优化加速，查杀，网络加速，硬件诊断，原厂dr

在优化加速页面，可以进行垃圾清理和系统加速，还可以进行网速测量，检查禁止启动的项目。在垃圾清理界面，点击图标下方的按钮，可以查看垃圾的详细信息，选择要清理的垃圾选项。扫描内容包括回收站、下载目录、系统垃圾、浏览器缓存、软件垃圾、音垃圾、使用痕迹、注册表垃圾。

查杀：

快速扫描、全面扫描、自定义扫描，全面防御、木马、流氓软件、流氓网站等对电脑系统和用户信息的威胁，让您安全、便捷、自主、自由地使用电脑。

硬件系统：

硬件信息 quot模块还为CPU提供了联想风扇散热功能，可以实时监控电脑CPU/主板的温度，及时给电脑CPU降温，随时保持电脑处于正常温度，降低电脑的消耗，延长电脑的使用寿命。

驱动管理：

检查与联想电脑匹配的官方驱动，是否安装了最新版本的驱动。点击测试后，可以看到需要安装和升级的驱动，以及已经安装和没有安装的驱动不需要升级。

点击联想Drive链接，进入联想Drive进行驱动器匹配。

第四段，360安全卫士

在初始安装界面，360安全卫士极速版没有隐藏功能选项，只需选择安装路径并安装即可，深受好评。

安装后，主界面是简洁的上下功能布局。 quot现在检查 quot顶部360用户熟悉的按钮，可以一键进行多项检查和清洗。下排是360安全卫士几个核心功能的入口：木马查杀、网络安全、电脑清理、系统修复、优化加速，功能齐全。

点击任意一项，都会跳转到第二个界面，可以随意切换功能，和原来的360安全卫士一致。

在最右边的 quot功能手册 quot，其他很多功能都是隐藏的，用户点击后可以模块化下载。这个界面虽然杂，但是好像没有影响体验的弹窗广告。

但点击360安全卫士极速版右上角的按钮会打开360软件管理器，软件中的一个弹窗会在这个界面出现几秒钟，但只出现一次，可能没有完全净化。

另外，360安全卫士极速版安装完成后，软件会默认弹出加速球悬浮窗口，可以双击加速或者鼠标悬停查看详情。

从整个测试体验来看，360安全卫士极速版没有广告和弹窗，附带的360软件管家偶尔会有弹窗，体验比原来的360安全卫士要好。

360安全卫士极速版官方版本号为15.0.0.1001。可以点击这里下载安装包亲自体验。

第五段，腾讯电脑管家

1、新设计尺寸。

小界面轻便，零思维简单易用；

大界面经典专业，掌握所有计算机信息；

2、专业守护在线安心

世界最大的安全云库和最新升级的防引擎；

独特的qq账号防御系统；

全面净化互联网雾霾，给你一个清朗的上网环境；

3.最终清洗光滑如新。

深度清理电脑垃圾和冗余文件；

小火箭全场景一键加速，让电脑重回巅峰状态；

4.简单方便的工具定制

工具箱支持小工具定制，常用功能一触即达；

微信备份，文件清理，更多贴心小工具等你来发现。

功能介绍

系统优化

腾讯的清理能力电脑管家系统提升3倍，电脑加速能力提升40%；软件卸载添加 quot强力清洁 quot功能，卸载更彻底；腾讯的表现电脑管家全面优化，大幅减少系统占用，使用轻盈流畅。

一击必杀

腾讯的电脑管家有ori

腾讯电脑管家新加入的强大修复工具，可以直击你经常遇到的电脑问题，轻松一键解决，完美修复。软件管理

WIN8合并

腾讯电脑管家全面兼容Windows8，运行更流畅，整体性能大幅提升，让你的电脑运行更稳定。

腾讯电脑管家使用指南

1.什么是电脑体检？什么效果如何？

答：电脑管家可以快速全面的检查电脑的风险，包括盗号木马、高危系统漏洞、垃圾文件、系统配置破坏和篡改等。发现风险后，可以通过电脑管家提供的修复和优化，消除风险，优化电脑性能。电脑管家建议你每周体检一次，可以大大降低被木马入侵的风险。

2.计算机体检的分数意味着什么？

答：电脑体检结束后，体检结果会以分数的形式显示你的电脑状况。满分100分：体检没有发现问题时，会提示满分，证明你的电脑非常健康。

得分在80到100之间：您的计算机安全性良好，但仍有可以优化的项目。根据 quot提示项目 quot不仅可以提高系统的运行速度，还可以保证计算机更加安全。

分数在80分以下：您的电脑有危险，建议立即处理！

新版亮点：

权威雷达，软件权威众所周知。

管理软件弹出、启动、推送等权限。实时了解各种软件行为。

企鹅保护和净化儿童的在线环境。

有效拦截不良信息，支持绑定家长微信实时查看拦截情况。

第6节，Microsoft计算机管理器

对于长期使用PC的小伙伴来说，电脑管家可能是必不可少的软件。然而，一些第三方安全卫士或电脑管家不仅没有帮助用户解决问题，还在用户身上引入了各种广告弹窗电脑，自带家庭桶，甚至修改系统设置。在一些用户头脑，似乎电脑管家这类软件已经等同于流氓软件。

据官方介绍，微软电脑管理器聚合了强大的底层R ampd微软视窗系统的功能，并与微软独特的反引擎，全面构建您的计算机保护系统。它以低占用、无打扰、干净、不捆绑产品为特色，为用户提供电脑体检、杀毒、主页反劫持、电脑垃圾清理等功能。

一些开发者发布了 quot微软电脑管理器1.0”，据说是微软官方开发的Windows桌面安全产品，集成了Windows Defender杀毒引擎。

我体验步骤和截图

步骤1:下载并安装

下载截图清爽，界面简洁，安装速度比较快。

步骤2:安装界面

界面包括常规电脑体验、查杀、垃圾清理、优化加速、用户反馈等功能。

第三步是查杀。

查杀部分支持快速查杀、完全查杀、自定义查杀、Windows更新、默认应用保护等。功能也比较完善，应该很多电脑都在用。

第四步，垃圾清理

垃圾清理部分，主要清理电脑中的缓存和使用中产生的垃圾文件。

第五步：优化加速。

加速部分主要是优化当前运行进程和引导附加组件，减少内存占用。

第六步：用户反馈

用户反馈包括诸如引导保护、升级设置、服务体验、隐私声明等条款和设置。

王者之心2点击试玩

国内目前最良心的安全软件

DLL劫持利用系统未知DLL的搜索路径方式，使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置，改变加载系统DLL的顺序不是当前目录，而是直接到系统目录下查找。

这个想法可以通过修改注册表实现。

在注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

是调用系统DLL的首要查找目录。例如里面有RE_SZ类型的ntdll=ntdll.dll项，则系统载入ntdll时会直接从系统目录加载。

由此，添加LPK=LPK.DLL即可防止LPK被劫持，同理可以阻止一些其他DLL被劫持，例如USP10。

在Windows NT系统，XP默认只有少数关键DLL在此键值下，Win7下面此键值已经相当齐全，在Win7系统下发生DLL劫持的概率要比XP小很多。

一回顾DLL挟持的发展

2010年08月24日微软发布安全公告2269637，提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击

2010年08月24日流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有：Wireshark（免费嗅探器）,Windows Live email（邮箱客户端）, Microsoft MovieMaker（编辑处理），Firefox（网页浏览器）, uTorrent （BT下载工具），PowerPoint 2010（办公软件）等

2010年08月25日－26日漏洞信息共享网站exploit-db继续爆出Winamp,Google Earth,Photoshop等软件存在DLL挟持漏洞，同时发布这个blog之前笔者的电脑中已经发掘存在的流行软件有，QQ影音，QQ音乐，美图秀秀，ppstream等

二新老DLL挟持的攻击原理分析和防御

1 动态链接库文件通常加载顺序如下

windows xp sp2系统以上会默认开启SafeDllSearchMode，安全dll搜索模式下DLL文件的搜索顺序如下所示

（1）可执行程序加载的目录（可理解为程序安装目录比如 C:\Program Files\uTorrent）（2）系统目录（即 %windir%\system32 ）（3）16位系统目录（即 %windir%\system）（4）Windows目录（即 %windir%）（5）运行某文件的所在目录，比如C:\Documents and Settings\Administrator\Desktop\test）（6）PATH环境变量中列出的目录

2 老DLL挟持触发的原理解析和防御（漏洞触发在DLL搜索流程的第一层，运行程序即加载）

（1）老DLL挟持的特点：

为了增加触发的概率，通常会使用usp1.dll，ws2_32.dll，lpk.dll等应用程序所必须的系统dll文件，然后利用DLL搜索第一顺位是程序安装目录，在程序安装目录释放一个同名DLL文件，抢先加载恶意DLL文件，从而达到破坏的作用。这里可执行程序相当于恶意dll的加载器

（2）老DLL挟持利用回顾重现

2007年罗姆（ws2_32.dll导致很多杀毒软件无法打开），2009年春节猫癣（usp10.dll导致很多用户重装系统都无法解决问题）

通常使用老DLL挟持的木枚举电脑里面的所有exe目录，然后将恶意的usp10.dll释放到每个exe所在的目录。当用户执行一个应用程序的时候，将会把恶意的usp10.dll文件优先加载从而感染系统

根据前面介绍的DLL加载顺序，运行程序的时候会优先到程序执行的目录下加载必须文件，下图显示了utorrent.exe在安装目录下的找到了usp10.dll文件并把它加载到内存中。

（3）老DLL挟持的通用免疫方案

可以通过编辑HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs来添加需要面议的DLL文件，比如：新建一个ws2_32 指向ws2_32.dll

3 新DLL挟持触发的原理解析和防御（漏洞触发在DLL搜索流程的第五层，运行即加载）

（1）新DLL挟持的特点：

应用程序为了扩展或者兼容等目的需要加载相应的DLL文件，但是因为某些原因导致这个DLL文件默认不存在于当前系统，比如plugin_dll.dll文件默认情况下不存在utorrent的安装目录，dwmapi.dllxp环境下不存在（Vista以上系统存在），ie6环境下没有ieframe.dll（ie7以上版本存在）。正是因为程序需要的DLL文件在DLL搜索顺序的（1）－（4）中都不可能存在，此时就会尝试加载文件所在目录下的恶意dll文件，从而达到破坏的作用。这里运行的文件（比如mp3）相当于触发者，根据文件关联它会启动一个应用程序去播放mp3文件。而因为应用程序存在DLL挟持漏洞（比如QQ影音），此时QQ影音就会因为设计上的不足导致成为恶意DLL的加载器。相当于老DLL挟持，简直达到了运行/文件就会执行恶意文件的目的，当然前提是大灰客们能猜中你电脑里面的默认查看的软件是否存在DLL挟持漏洞了，目前已经发现的存在DLL挟持缺陷的主要有以下几类

① 特定系统环境下的文件

典型的有dwmapi.dll文件，xp环境下不存在，vista以上版本存在，也就是说需要触发这个漏洞的系统环境只能是XP系统

② 特定软件版本下的文件

典型的有：ieframe.dll，IE6下不存在，ie7以上版本有，也就是说触发漏洞的电脑IE必须是IE6版本

③ 特定的库文件

典型的有：mfc80chs.dll

④ 程序自己需要的dll文件，可能是为了功能扩展或者兼容

典型的有：plugin_dll.dll

⑤ 其它未知

（2）新DLL挟持利用重现

通常灰客们会先通过DLL挟持挖掘工具寻找存在DLL挟持漏洞的流行应用程序，然后构造相应的文件上传到网络上供用户下载（具体的传播方式请看下一章），如果用户的电脑存在漏洞那么运行相应文件的时候就会执行存在漏洞的程序，从而使得恶意dll被不知不觉加载

根据前面介绍的DLL加载顺序和新DLL挟持的特点，程序在前四个流程都没有找到需要的文件，只能勉为其难的在第五流程－当前文件目录下加载恶意dll文件，下图就显示了uTorrent加载plugin_dll.dll顺序（前四个流程都是 name not found）并且加载当前目录下恶意plugin_dll.dll文件（第五流程显示的是success ）的过程

（3）新DLL挟持的免疫

目前微软没有提供有效的免疫方案可以使用，建议升级你常用软件到最新版本.

三新DLL挟持可能存在的攻击方式

exploit-db公布了存在DLL Hijacking的大量常用软件，这些软件里面有音频播放器，图像设计浏览软件，IM聊天工具，文字处理软件，网页浏览器，下载软件，杀毒软件。根据在下的一点拙见如果作者想要利用这个漏洞来实现广泛传播的话主要有几种方式。

1 BT下载大片传播

挖掘出支持BT下载的流行软件（比如uTorrent ）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和BT文件打包成压缩包上传到网上供用户下载，用户一旦下载了这个压缩包双击BT文件的时候会调用uTorrent 打开，uTorrent 运行的时候由于设计上的不河蟹根据dll加载的顺序最后会将所在目录的恶意dll加载

2 美女分享传播

挖掘出流行浏览工具（比如美图秀秀）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和文件打包成压缩包上传到网上供用户下载，用户一旦下载了这个压缩包，解压浏览美女靓照的时候可能会调用浏览工具打开从而触发漏洞加载恶意dll文件

3 软件下载包含的网页文件传播

挖掘出流行网页浏览工具（比如firefox）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件），应用程序和htm等网页文件打包成软件压缩包并上传到网上供用户下载。用户一旦下载了这个软件压缩包，解压以后运行安装必看.htm之类的网页文件会调用网页浏览工具打开从而触发漏洞加载恶意dll文件

4 热门音频文件传播

挖掘出流行音频播放工具（比如QQ影音）的DLL Hijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和rmvb等视音频文件打包压缩包并上传到网上供用户下载。用户一旦下载了这个压缩包，解压播放相应的时候从而触发漏洞加载恶意dll文件

5 目前公布的部分软件列表

Google Earth

Nullsoft Winamp 5.581

Media Player Classic 6.4.9.1

Mozilla Thunderbird

Microsoft Office PowerPoint 2007

Adobe InDesign CS4

Nvidia Driver

Adobe Illustrator CS4

Adobe Premier Pro CS4

Skype <= 4.2.0.169

TechSmith Snagit 10

Safari v5.0.1

uTorrent

Microsoft Visio 2003

Adobe Photoshop CS2

ast! <= 5.0.594

Adobe Dreamweer CS5

Opera v10.61

Firefox <= 3.6.8

四 DLL安全编程，避免产生DLL挟持问题

(1）调用LoadLibrary， LoadLibraryEx， CreateProcess的，或者的ShellExecute 等涉及到模块加载的函数的时候，指定DLL加载的完整路径，貌似应该有API可以获取当前程序运行的目录的

（2）考虑使用的DLL重定向或 Manifests文件，以确保您的应用程序使用正确的DLL。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

（3）确保DLL安全搜索模式被激活。未使用安全搜索设置的话，第二加载项就是当前目录。

HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode

（4）从搜索列表中取消当前目录，可以通过调用SetDllDirectory 参数设置为一个空字符串

第一款：火绒安全软件?

是目前国内极少数专注安全防护软件领域集杀、防、管、控于一体的良心软件，具有占用小、高查杀、低误杀、多重防护、弹窗广告、系统加固、轻巧纯净以及不弹窗、不捆绑、不劫持浏览器等优点，将各类威胁拦截在系统之外并帮助广大火绒安全软件用户全面拦截阻止流氓软件。

该互联网安全软件拥有领先的安全核心技术、EDR运营体系和成熟的产品,能够有效帮助个人和机构全面构建并升级系统安全防线，全方位抵御、黑客和流氓软件的侵害，想知道火绒好用吗亲自试试就知道了，威航软件园提供最新版本的火绒安全软件下载。?

?第二款：Total Security（360国际版）

是由奇虎360公司开发的纯净无明显商业推广行为且杀毒能力一流的360杀毒软件，360国际版是为广大用户的电脑安全及效能量身打造的专业免费杀毒软件。

根据360国际版说明得知，360国际版内置360云查杀引擎、360 QVMII人工智能引擎、QEX脚本查杀引擎和鲲鹏引擎，是对抗勒索软件的有力武器，此外360国际版还有强力云技术加持的实时监测功能可以快速发现勒索软件的新变种，智能监测并辨别各种可疑劫持行为并提醒用户，自动帮您备份并加密文件，不用担心文件被，确保用户重要资料万无一失。

第三款：智量盾终端安全软件

国内基于人工智能技术开发的优秀且跟火绒安全软件一样良心好用的电脑安全软件，用超轻量化设计，界面简洁逻辑清晰，安装简单可后台静默运行不占用系统，更重要的是智量终端安全软件绝对没有多余的弹窗、捆绑、广告推送、全家桶以及用户隐私窃取等卑劣行为。

智量终端安全具有异常强悍的无文件、零日以及传统杀毒软件难以检测查杀的勒索防御能力，智量终端安全软件用了流式更新方式，彻底摆脱了依赖传统特征码需要几小时一升级的壁垒，智量终端安全可以在几秒钟内完成库的自动更新，确保用户电脑中毒后在第一时间检测并查杀。