免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
简介
使用图标将 DLL 注入资源管理器的非正统和隐蔽方式
IconJector
这是一个Windows资源管理器DLL注入技术,使用Windows上的更改图标对话框。
它是如何工作的?
首先,在临时目录中创建一个文件夹,并使用SHObjectProperties打开该文件夹的属性。为了独立于系统语言检索窗口的句柄,EnumWindows与一个回调函数一起使用,该函数在每个打开的窗口中检查不同的文件夹名称。
通过属性页,调用更改图标对话框,其句柄也通过EnumWindows检索。最后,图标路径更改为DLL(在本例中扩展名为.ico),这将导致资源管理器在按下OK按钮后加载DLL。
图标
“图标”实际上是一个简单的DLL文件,扩展名为.ico,它可以打开使用资源黑客添加的图标资源的计算器应用程序。
当涉及到文件夹视图中图标的外观时,存在一些异常。我已经在两个不同的Windows 10版本(最新版本和旧版本)和Windows 11上进行了测试。
Windows 10
在两个Widnows10版本上,当扩展名更改为. ico时,DLL中存储的图标不会显示
然而,在最新的Windows 10版本上,它确实工作,直到我试图打开照片应用程序内部的“图标”。从那时起,我就无法重新创建它。
Windows 11
在Windows 11上,该图标在资源管理器视图中显示为正常图标。然而,当它在照片应用程序中打开时,会显示错误。这种行为当然很有趣,因为用户如果只是想更改文件夹的图标,可能会将恶意DLL注入到资源管理器中。这可能看起来像这样:
为什么?
这是一种非常隐蔽的将DLL注入Explorer进程的方法,因为它不使用通常的DLL注入API。它确实产生了两个简短的弹出窗口,但并不太令人不安。因此,它可以被威胁行为者用作AV规避技术,通过合法的资源管理器进程执行代码或加载UMD rootkit。nbsp;
此外,将DLL伪装成. ico文件传播可能是一种有趣的攻击媒介。
使用的工具
为了获得正确的窗口句柄,我使用了Spy++,这是一个与Visual Studio一起安装的工具。
项目地址
https://github.com/0xda568/IconJector?tab=readme-ov-file
原创 Mr.x SecHub网络安全社区
微信扫一扫
关注该公众号