DLL劫持攻击原理是什么

DLL劫持指的是，病毒通过一些手段来劫持或者替换正常的DLL，欺骗正常程序加载预先准备好的恶意DLL。window系统为了尽可能多得安排资源共享，建议多个应用程序共享的任何模块应该放在系统目录中方便寻找但这样会使其他的应用程序无法正确执行，修改后强制操作系统的加载程序首先从应用程序目录中加载模块，如果没有找到模块则才能搜索其他目录，攻击者利用这个特性就可以使应用程序强制加载指定的DLL。

新型DLL挟持攻击方式有以下这些：

• BT链接下载传播：挖掘出支持BT下载的流行软件（比如uTorrent ）的DLLHijacking漏洞，然后构造一个恶意dll文件（估计会设置隐藏属性，这样你解压以后将不会看到这个文件）和BT种子文件打包成压缩包上传到网上供用户下载，用户一旦下载了这个压缩包双击BT种子文件的时候会调用uTorrent 打开，uTorrent 运行的时候由于设计上的不和谐根据dll加载的顺序最后会将种子所在目录的恶意dll加载。

• 图片分享传播：挖掘出流行图片浏览工具的DLLHijacking漏洞，然后构造一个恶意dll文件和图片文件打包成压缩包上传到网上供用户下载，用户一旦下载了这个压缩包，解压浏览图片后会调用图片浏览工具打开从而触发漏洞加载恶意dll文件。

• 软件下载包含的网页文件传播：挖掘出流行网页浏览工具的DLL Hijacking漏洞，然后构造一个恶意dll文件，应用程序和html等网页文件打包成软件压缩包并上传到网上供用户下载。用户一旦下载了这个软件压缩包，解压以后运行安装必看.htm之类的网页文件会调用网页浏览工具打开从而触发漏洞加载恶意dll文件。

• 热门视频音频文件传播：挖掘出流行视频音频播放工具的DLL Hijacking漏洞，然后构造一个恶意dll文件和rmvb等视音频文件打包压缩包并上传到网上供用户下载。用户一旦下载了这个压缩包，解压播放相应视频的时候从而触发漏洞加载恶意dll文件。