Windows Microsoft已知DLL
HKML\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs KnownDLS的用途是什么?(更快地加载一些DLL?) 如果我有管理员令牌,我可以控制注册表值。Windows Microsoft已知DLL,windows,dll,Windows,Dll,HKML\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs KnownDLS的用途是什么?(更快地加载一些DLL?) 如果我有管理员令牌,我可以控制注册表值。 没有安全漏洞吗 为什么Microsoft支持此功能?这允许忽略正常的DLL搜索路径,并加载指定的版本 虽然本身不是一个安全漏洞(因为您已经需要拥有管理员权限才能更改值),但可以通过恶意DLL重定向调用 这是为了提高性能而添加的一项功能,因为不需要扫描几个可能较大的目录来查
没有安全漏洞吗
为什么Microsoft支持此功能?这允许忽略正常的DLL搜索路径,并加载指定的版本 虽然本身不是一个安全漏洞(因为您已经需要拥有管理员权限才能更改值),但可以通过恶意DLL重定向调用
这是为了提高性能而添加的一项功能,因为不需要扫描几个可能较大的目录来查找DLL。如果它依赖于您是管理员,那么它就不是一个安全漏洞。如果您已经是管理员,有更简单的方法将恶意DLL引入系统(例如,在操作系统顶部复制它们)
这是Raymond Chen所说的一个例子。KnownDLLs所做的唯一一件事就是防止从applications文件夹加载隐式加载的DLL 出于安全原因,“KnownDll”在其中唯一有效的文件夹是c:\Windows\System32(或您的本地化等效文件夹)-此文件夹在搜索列表中位于进程文件夹之后的第二位 本质上,它可以防止从应用程序文件夹中加载系统dll(如kernel32.dll)的恶意副本
它不会阻止应用程序使用完全限定路径加载dll。它不会停止对路径的长时间搜索或在路径中发现系统DLL-无论如何,system32总是在这些位置之前搜索。Microsoft添加了此功能以阻止安全漏洞 通过将
win32k.sys
声明为已知dll,流氓恶意软件无法将自己的win32k.sys
放在应用程序文件夹中,并诱使您运行攻击者的代码
所有已知DLL将仅从其正确、受保护的位置加载