如何禁用软件DLL劫持（Disable DLL Hijacking）

柒月溯雪

前言

越来越多的木马使用DLL劫持功能进行加载，大家也经常做补丁使用DLL劫持功能进行破解，有没有想过如何进行防护了？本文介绍通过修改文件manifest属性进行定向位置加载和动态加载签名校验来解决劫持问题，给开发者提供一些防护思路，加强软件保护，防止被劫持利用。

介绍

木马
如早期的犇牛木马，使用伪装LPK.DLL、USP10.DLL系统DLL进行劫持加载传播感染，到如今各种流氓软件和APT组织使用DLL劫持正常软件绕过安全软件拦截，如使用伪装chrome.dll劫持Chrome.exe来实现加载，其中比较知名APT组织海莲花(OceanLotus)最为擅长。

破解补丁
Windows平台加密壳发展到如今阶段，脱壳成本提升和自校验的加强，已经很少有直接通过文件Patch进行补丁破解了，基本都开始使用内存修改的方式进行补丁，相对于传统的启动进程再修改内存的方式，DLL劫持修改内存更为方便，DLL劫持补丁已经成为主流的破解补丁存在方式了。为什么可以进行DLL劫持了，本文不再赘述，可以参看微软官方的介绍：

https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order  

防护方法

• 对于系统DLL，不通过修改本机KnownDLLs进行单机防护，而是通过修改文件manifest属性进行定向加载DLL来解决通用系统DLL劫持问题，开发者可以看微软的manifest介绍：>https://docs.microsoft.com/en-us/windows/win32/sbscs/application-manifests
  比如我们给程序添加以下 复制代码 隐藏代码
  <?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1"><file name="winmm.dll" loadFrom="%SystemRoot%\system32\winmm.dll" /><file name="lpk.dll" loadFrom="%SystemRoot%\system32\lpk.dll" /><file name="version.dll" loadFrom="%SystemRoot%\system32\version.dll" /></assembly>
  编译成功后再进行winmm.dll、lpk.dll和version.dll劫持，就会无效了，这里只添加了部分DLL，可以根据自己程序所需，把对应所有的导入表中的系统DLL都加入即可。对于二次开发的程序没有源代码如何进行修改了？我们可以使用ResEdit等资源工具进行修改，如图所示：
  
  
  
• 对于非系统第三方DLL，上面的方法就不太适用了，可以使用动态加载方式，不要使用静态导入方式加载，通过动态加载对文件进行校验，如数字签名校验通过后再进行加载，来保证程序的安全性结语
  未知攻焉知防，充分了解攻击手段才才可以做出更好的防御，感谢@690827027 的指点，学习到新的知识。
  参考链接

  https://curl.se/mail/lib-2018-02/0075.html
  https://itm4n.github.io/windows-dll-hijacking-clarified/
  https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order