DLL står för Dynamic Link Libraries och är externa delar av applikationer som körs på Windows eller något annat operativsystem. De flesta applikationer är inte kompletta i sig och lagrar kod i olika filer. Om det finns ett behov av koden laddas den relaterade filen in i minnet och används. Detta minskar storleken på programfilen samtidigt som användningen av RAM -minne optimeras . Den här artikeln förklarar vad som är DLL-kapning^{(DLL Hijacking)} och hur man upptäcker och förhindrar det.

Vad är DLL -filer^(Files) eller dynamiska länkbibliotek^{(Dynamic Link Libraries)}

DLL- filer är Dynamic Link Libraries och som framgår av namnet är de tillägg till olika applikationer. Alla applikationer vi använder får eller kanske inte använder vissa koder. Sådana koder lagras i olika filer och anropas eller laddas i RAM endast när den relaterade koden krävs. Således sparar den en applikationsfil från att bli för stor och för att förhindra att applikationen stör resurserna.

Sökvägen för DLL- filer ställs in av Windows operativsystem. Sökvägen ställs in med hjälp av Global Environmental Variables . Som standard, om ett program begär en DLL -fil, tittar operativsystemet in i samma mapp som programmet är lagrat i. Om den inte hittas där, går den till andra mappar enligt de globala variablerna. Det finns prioriteringar kopplade till sökvägar och det hjälper Windows att avgöra vilka mappar som ska leta efter DLL-filerna^(DLLs) . Det är här DLL- kapningen kommer in.

Vad är DLL-kapning

Eftersom DLL-filer^(DLLs) är tillägg och nödvändiga för att använda nästan alla applikationer på dina maskiner, finns de på datorn i olika mappar enligt beskrivningen. Om den ursprungliga DLL -filen ersätts med en falsk DLL -fil som innehåller skadlig kod, kallas den DLL Hijacking .

Som nämnts tidigare finns det prioriteringar för var operativsystemet letar efter DLL- filer. Först^(First) tittar den in i samma mapp som applikationsmappen och söker sedan, baserat på de prioriteringar som ställts in av operativsystemets miljövariabler. Så om en good.dll-fil finns i mappen SysWOW64 och någon placerar en bad.dll i en mapp som har högre prioritet jämfört med mappen SysWOW64 , kommer operativsystemet att använda filen bad.dll, eftersom den har samma namn som DLL -filen. begärt av ansökan. Väl i RAM kan den köra den skadliga koden som finns i filen och kan äventyra din dator eller ditt nätverk.

Hur man upptäcker DLL-kapning

Den enklaste metoden att upptäcka och förhindra DLL -kapning är att använda tredjepartsverktyg. Det finns några bra gratisverktyg tillgängliga på marknaden som hjälper till att upptäcka ett DLL -hackförsök och förhindra det.

Ett sådant program är DLL Hijack Auditor men det stöder endast 32-bitars applikationer. Du kan installera det på din dator och skanna alla dina Windows-applikationer för att se vad alla applikationer är sårbara för DLL- kapning. Gränssnittet är enkelt och självförklarande. Den enda nackdelen med denna applikation är att du inte kan skanna 64-bitars applikationer.

Ett annat program, för att upptäcka DLL - kapning,  DLL_HIJACK_DETECT, är tillgängligt via GitHub . Detta program kontrollerar applikationer för att se om någon av dem är sårbara för DLL- kapning. Om så är fallet, informerar programmet användaren. Applikationen har två versioner – x86 och x64 så att du kan använda var och en för att skanna både 32-bitars respektive 64-bitars applikationer.

Det bör noteras att ovanstående program bara skannar applikationerna på Windows - plattformen för sårbarheter och faktiskt inte förhindrar kapning av DLL- filer.

Hur man förhindrar DLL-kapning

Problemet bör åtgärdas av programmerarna i första hand eftersom det inte finns mycket du kan göra förutom att förbättra dina säkerhetssystem. Om programmerare istället för en relativ sökväg börjar använda en absolut sökväg, kommer sårbarheten att minska. När du läser den absoluta sökvägen, kommer Windows eller något annat operativsystem inte att bero på systemvariabler för sökväg och kommer att gå direkt till den avsedda DLL -filen , vilket avvisar chanserna att ladda DLL med samma namn i en sökväg med högre prioritet. Den här metoden är inte heller felsäker eftersom om systemet äventyras och cyberbrottslingarna känner till den exakta sökvägen till DLL kommer de att ersätta den ursprungliga DLL :n med den falska DLL :n^(DLL). Det skulle vara att skriva över filen så att den ursprungliga DLL -filen ändras till skadlig kod. Men återigen, cyberbrottslingen kommer att behöva veta den exakta absoluta sökvägen som nämns i applikationen som kräver DLL . Processen är tuff för cyberbrottslingar och kan därför räknas med.

För att komma tillbaka till vad du kan göra, försök bara att skala upp dina säkerhetssystem för att bättre säkra ditt Windows-system^{(secure your Windows system)} . Använd en bra brandvägg^(firewall) . Om möjligt, använd en hårdvarubrandvägg eller slå på routerns brandvägg. Använd bra intrångsdetekteringssystem så att du vet om någon försöker leka med din dator.

Om du gillar att felsöka datorer kan du också göra följande för att höja din säkerhet:

1. Inaktivera DLL - laddning från fjärrnätverksresurser
2. Inaktivera laddning av DLL - filer från WebDAV
3. Inaktivera WebClient- tjänsten helt eller ställ in den på manuell
4. Blockera ^(Block)TCP- portarna 445 och 139 eftersom de används mest för att kompromissa med datorer
5. Installera de senaste uppdateringarna av operativsystemet och säkerhetsprogramvaran.

Microsoft har släppt ett verktyg för att blockera DLL - laddningsattacker. Detta verktyg minskar risken för DLL- kapningsattacker genom att förhindra applikationer från att ladda kod från DLL - filer på ett osäkert sätt.

Om du vill lägga till något till artikeln, vänligen kommentera nedan.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are extеrnal рarts of applications that run on Windows or аny othеr operating ѕystem. Most applications are not complete in themselves and storе code in different files. If there is a need for the code, the related file is loaded into memory and used. This reduces application filе size while optimizing the usage of RAM. This article explains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Vad är Remote Access Trojan? Förebyggande, upptäckt och borttagning

• Fillösa attacker, skydd och upptäckt av skadlig programvara

• Hur undviker man nätfiske och attacker?

• Cyberattacker - definition, typer, förebyggande

• Webbläsarkapning och gratis borttagningsverktyg för webbläsarkapare

• Vad är CandyOpen? Hur tar man bort CandyOpen från Windows 10?

• Hur man förhindrar skadlig programvara - Tips för att säkra Windows 11/10

• Crystal Security är ett gratis molnbaserat verktyg för upptäckt av skadlig programvara för PC

• Hur man använder Chrome-webbläsarens inbyggda Malware Scanner & Cleanup Tool

• Bästa gratis programvara för borttagning av spion- och skadlig programvara

• Vad är cyberbrott? Hur ska man hantera det?

• Gratis borttagningsverktyg för skadlig programvara för att ta bort specifika virus i Windows 11/10

• Inlämning av skadlig programvara: Var skickar man in skadlig programvara till Microsoft och andra?

• Hur man tar bort Virus Alert från Microsoft på Windows PC

• De bästa skannrarna för virus och skadlig programvara GARANTERAT för att kärnva ur alla virus

• Rogue Security Software eller Scareware: Hur kontrollerar, förhindrar, tar bort?

• Ta bort virus från USB-minnet med kommandotolken eller batchfil

• Kontrollera om din dator har infekterats av ASUS Update Malware

• Förhindra Drive-by-nedladdningar och relaterade attacker mot skadlig programvara

• Hur man använder Avast Boot Scan för att ta bort skadlig programvara från Windows PC