Come funziona l'iniezione di Windows FAX DLL?

2

Nella pagina di Wikipedia possiamo leggere che l'exploit "Iniezione di Windows FAX DLL" consentirebbe un utente con intenti malevoli per nascondere il proprio malware sotto la DLL di un'altra applicazione.

Come funziona esattamente? Gli antivirus più diffusi riescono a rilevare tali iniezioni DLL di questo tipo?

    
posta kenorb 11.03.2017 - 15:56
fonte

1 risposta

3

Puoi trovare le informazioni nella pagina Wikileaks .

This is a simple DLL hijacking attack that we have successfully tested against Windows XP,Vista and 7. A DLL named fxsst.dll normally resides in \Windows\System32 and is loaded by explorer.exe. Placing a new DLL with this name in \Windows results in this being loaded into explorer instead of the original DLL. On Windows Vista and above, the DLL‘s reference count must be increased by calling LoadLibrary on itself to avoid being unloaded.

This achieves persistence, stealth, and (in some cases) PSP avoidance.

Quindi in pratica:

  1. Compila la tua applicazione come .DLL
  2. Inseriscilo in C: \ WINDOWS come fxsst.dll
  3. Verrà caricato da explorer.exe - (forse è sufficiente uccidere)

Il file originale si trova in C:\Windows\System32\fxsst.dll (gestisce il protocollo fax T.30), ma se inserisci un'altra DLL chiamata fxsst.dll in C:\WINDOWS , questa verrà invece caricata.

Da Vista e sopra hai bisogno dei diritti di amministratore per installare la DLL e devi chiamare LoadLibrary sulla tua DLL Loadlibrary("C:\WINDOWS\fxsst.dll") per aumentare il conteggio dei riferimenti o sarà scaricato con FreeLibrary.

    
risposta data 24.03.2017 - 08:32
fonte

Leggi altre domande sui tag