Phenquestions
DLL bermaksud Dynamic Link Libraries dan merupakan bahagian luaran aplikasi yang dijalankan pada Windows atau sistem operasi lain. Sebilangan besar aplikasi tidak lengkap dan menyimpan kod dalam fail yang berbeza. Sekiranya ada keperluan untuk kod, fail yang berkaitan dimuat ke dalam memori dan digunakan. Ini mengurangkan saiz fail aplikasi sambil mengoptimumkan penggunaan RAM. Artikel ini menerangkan apa itu Rampasan DLL dan bagaimana mengesan dan mencegahnya.
Apakah Fail DLL atau Perpustakaan Pautan Dinamik
Fail DLL adalah Perpustakaan Pautan Dinamik dan seperti yang ditunjukkan oleh namanya, adalah sambungan dari aplikasi yang berbeza. Sebarang aplikasi yang kami gunakan mungkin atau mungkin tidak menggunakan kod tertentu. Kod sedemikian disimpan dalam fail yang berlainan dan dipanggil atau dimuat ke dalam RAM hanya apabila kod yang berkaitan diperlukan. Oleh itu, ia menyimpan fail aplikasi daripada menjadi terlalu besar dan untuk mengelakkan penyumbatan sumber oleh aplikasi.
Laluan untuk fail DLL ditetapkan oleh sistem operasi Windows. Laluan ditetapkan menggunakan Pemboleh ubah Persekitaran Global. Secara lalai, jika aplikasi meminta fail DLL, sistem operasi melihat folder yang sama di mana aplikasi disimpan. Sekiranya tidak dijumpai di sana, ia pergi ke folder lain seperti yang ditetapkan oleh pemboleh ubah global. Terdapat keutamaan yang dilampirkan pada jalan dan ia membantu Windows dalam menentukan folder apa yang akan dicari DLL. Di sinilah rampasan DLL masuk.
Apa itu Rampasan DLL
Oleh kerana DLL adalah sambungan dan diperlukan untuk menggunakan hampir semua aplikasi pada mesin anda, fail tersebut terdapat di komputer dalam folder yang berbeza seperti yang dijelaskan. Sekiranya fail DLL asal diganti dengan fail DLL palsu yang mengandungi kod berbahaya, ia dikenali sebagai Rampasan DLL.
Seperti yang disebutkan sebelumnya, ada keutamaan di mana sistem operasi mencari fail DLL. Pertama, ia melihat ke folder yang sama dengan folder aplikasi dan kemudian pergi mencari, berdasarkan keutamaan yang ditetapkan oleh pemboleh ubah persekitaran sistem operasi. Oleh itu jika baik.fail dll ada dalam folder SysWOW64 dan seseorang meletakkan yang buruk.dll dalam folder yang mempunyai keutamaan lebih tinggi berbanding folder SysWOW64, sistem operasi akan menggunakan yang buruk.fail dll, kerana mempunyai nama yang sama dengan DLL yang diminta oleh aplikasi. Setelah berada dalam RAM, ia dapat menjalankan kod jahat yang terdapat di dalam fail dan boleh membahayakan komputer atau rangkaian anda.
Cara mengesan Rampasan DLL
Kaedah paling mudah untuk mengesan dan mencegah rampasan DLL adalah dengan menggunakan alat pihak ketiga. Terdapat beberapa alat percuma yang baik yang tersedia di pasaran yang dapat membantu mengesan percubaan peretasan DLL dan mencegahnya.
Salah satu program tersebut ialah DLL Hijack Auditor tetapi hanya menyokong aplikasi 32-bit. Anda boleh memasangnya di komputer dan mengimbas semua aplikasi Windows anda untuk melihat semua aplikasi yang terdedah kepada rampasan DLL. Antaramuka mudah dan jelas. Satu-satunya kelemahan aplikasi ini ialah anda tidak dapat mengimbas aplikasi 64-bit.
Program lain, untuk mengesan rampasan DLL, DLL_HIJACK_DETECT, boleh didapati melalui GitHub. Program ini memeriksa aplikasi untuk melihat apakah ada yang terdedah kepada rampasan DLL. Sekiranya ada, program ini memberitahu pengguna. Aplikasi ini mempunyai dua versi - x86 dan x64 sehingga anda dapat menggunakannya masing-masing untuk mengimbas kedua-dua aplikasi 32-bit dan 64-bit.
Harus diingat bahawa program di atas hanya mengimbas aplikasi di platform Windows untuk kelemahan dan sebenarnya tidak menghalang rampasan fail DLL.
Cara mencegah Rampasan DLL
Masalahnya harus ditangani oleh pengaturcara sejak awal kerana tidak banyak yang dapat anda lakukan kecuali untuk meningkatkan sistem keselamatan anda. Sekiranya bukannya jalan relatif, pengaturcara mula menggunakan jalan mutlak, kerentanan akan dikurangkan. Membaca jalur mutlak, Windows atau sistem operasi lain tidak akan bergantung pada pemboleh ubah sistem untuk jalan dan akan terus menuju ke DLL yang dimaksudkan, dengan itu menolak kemungkinan memuatkan nama DLL yang sama pada jalan yang lebih tinggi. Kaedah ini juga, tidak kalis kegagalan kerana jika sistem itu terganggu, dan penjenayah siber mengetahui jalan DLL yang tepat, mereka akan mengganti DLL yang asli dengan DLL palsu. Itu akan menimpa fail sehingga DLL asal diubah menjadi kod jahat. Tetapi sekali lagi, penjenayah siber perlu mengetahui jalan mutlak yang disebutkan dalam aplikasi yang memerlukan DLL. Prosesnya sukar bagi penjenayah siber dan dengan itu dapat diandalkan.
Kembali kepada apa yang boleh anda lakukan, cubalah meningkatkan sistem keselamatan anda untuk mengamankan sistem Windows anda dengan lebih baik. Gunakan firewall yang bagus. Sekiranya boleh, gunakan firewall perkakasan atau hidupkan firewall penghala. Gunakan sistem pengesanan pencerobohan yang baik sehingga anda tahu jika ada yang cuba bermain dengan komputer anda.
Sekiranya anda menghadapi masalah komputer, anda juga boleh melakukan perkara berikut untuk meningkatkan keselamatan anda:
- Lumpuhkan pemuatan DLL dari perkongsian rangkaian jauh
- Lumpuhkan memuat fail DLL dari WebDAV
- Lumpuhkan perkhidmatan WebClient sepenuhnya atau tetapkan ke manual
- Sekat port TCP 445 dan 139 kerana kebanyakannya digunakan untuk menjejaskan komputer
- Pasang kemas kini terkini ke sistem operasi dan perisian keselamatan.
Microsoft telah mengeluarkan alat untuk menyekat serangan rampasan beban DLL. Alat ini mengurangkan risiko serangan rampasan DLL dengan mencegah aplikasi memuatkan kod dari fail DLL dengan tidak selamat.
Sekiranya anda ingin menambahkan apa-apa pada artikel, sila komen di bawah.
