डीएलएल गतिशील लिंक पुस्तकालयों के लिए खड़ा है और उन अनुप्रयोगों के बाहरी भाग हैं जो विंडोज या किसी अन्य ऑपरेटिंग सिस्टम पर चलते हैं। अधिकांश एप्लिकेशन स्वयं में पूर्ण नहीं होते हैं और विभिन्न फ़ाइलों में कोड संग्रहित नहीं करते हैं। यदि कोड की आवश्यकता है, तो संबंधित फाइल स्मृति में लोड की जाती है और उपयोग की जाती है। इससे RAM के उपयोग को अनुकूलित करते समय एप्लिकेशन फ़ाइल आकार कम हो जाता है। यह आलेख बताता है कि क्या है डीएलएल अपहरण और इसे कैसे पहचानें और कैसे रोकें।
डीएलएल फाइलें या डायनामिक लिंक लाइब्रेरी क्या हैं
डीएलएल फाइलों के लिए पथ विंडोज ऑपरेटिंग सिस्टम द्वारा सेट किया गया है। पथ वैश्विक पर्यावरण चर का उपयोग कर सेट किया गया है। डिफ़ॉल्ट रूप से, यदि कोई एप्लिकेशन एक डीएलएल फ़ाइल का अनुरोध करता है, तो ऑपरेटिंग सिस्टम उसी फ़ोल्डर में दिखता है जिसमें एप्लिकेशन संग्रहीत होता है। यदि यह वहां नहीं मिला है, तो यह वैश्विक चर द्वारा निर्धारित अन्य फ़ोल्डरों पर जाता है। पथ से जुड़ी प्राथमिकताएं हैं और यह विंडोज़ को यह निर्धारित करने में सहायता करती है कि डीएलएल के लिए कौन से फ़ोल्डरों को देखना है। यह वह जगह है जहां डीएलएल अपहरण आता है।
डीएलएल अपहरण क्या है
चूंकि डीएलएल एक्सटेंशन हैं और आपकी मशीनों पर लगभग सभी अनुप्रयोगों का उपयोग करने के लिए आवश्यक हैं, इसलिए वे कंप्यूटर पर अलग-अलग फ़ोल्डर्स में मौजूद हैं जैसा कि समझाया गया है। यदि मूल DLL फ़ाइल को नकली DLL फ़ाइल के साथ प्रतिस्थापित किया गया है जिसमें दुर्भावनापूर्ण कोड है, तो इसे इसके रूप में जाना जाता है डीएलएल अपहरण.
जैसा कि पहले उल्लेख किया गया है, वरीयताएं हैं जहां ऑपरेटिंग सिस्टम डीएलएल फाइलों को देखता है। सबसे पहले, यह एप्लिकेशन फ़ोल्डर के समान फ़ोल्डर में दिखता है और फिर ऑपरेटिंग सिस्टम के पर्यावरण चर द्वारा निर्धारित प्राथमिकताओं के आधार पर खोज करता है। इस प्रकार यदि कोई good.dll फ़ाइल SysWOW64 फ़ोल्डर में है और कोई ऐसे फ़ोल्डर में bad.dll रखता है जिसमें SysWOW64 फ़ोल्डर की तुलना में उच्च प्राथमिकता है, तो ऑपरेटिंग सिस्टम bad.dll फ़ाइल का उपयोग करेगा, क्योंकि इसका नाम डीएलएल जैसा है आवेदन द्वारा अनुरोध किया गया। एक बार रैम में, यह फ़ाइल में निहित दुर्भावनापूर्ण कोड निष्पादित कर सकता है और आपके कंप्यूटर या नेटवर्क से समझौता कर सकता है।
डीएलएल अपहरण का पता कैसे लगाएं
डीएलएल अपहरण का पता लगाने और रोकने का सबसे आसान तरीका तीसरे पक्ष के औजारों का उपयोग करना है। बाजार में कुछ अच्छे मुफ्त उपकरण उपलब्ध हैं जो डीएलएल हैक प्रयास का पता लगाने में मदद करते हैं और इसे रोकते हैं।
ऐसा एक कार्यक्रम डीएलएल हाइजैक ऑडिटर है लेकिन यह केवल 32-बिट अनुप्रयोगों का समर्थन करता है। आप इसे अपने कंप्यूटर पर इंस्टॉल कर सकते हैं और अपने सभी विंडोज अनुप्रयोगों को स्कैन कर सकते हैं यह देखने के लिए कि सभी एप्लिकेशन डीएलएल अपहरण के लिए कमजोर हैं। इंटरफ़ेस सरल और आत्म-स्पष्टीकरणपूर्ण है। इस एप्लिकेशन का एकमात्र कमी यह है कि आप 64-बिट अनुप्रयोगों को स्कैन नहीं कर सकते हैं।
डीएलएल अपहरण, DLL_HIJACK_DETECT का पता लगाने के लिए एक अन्य कार्यक्रम, गिटहब के माध्यम से उपलब्ध है। यह प्रोग्राम यह देखने के लिए एप्लिकेशन जांचता है कि उनमें से कोई भी डीएलएल अपहरण के लिए कमजोर है या नहीं। यदि ऐसा है, तो कार्यक्रम उपयोगकर्ता को सूचित करता है। एप्लिकेशन में दो संस्करण हैं - x86 और x64 ताकि आप क्रमशः 32 बिट और 64 बिट अनुप्रयोगों को स्कैन करने के लिए प्रत्येक का उपयोग कर सकें।
यह ध्यान दिया जाना चाहिए कि उपर्युक्त प्रोग्राम केवल कमजोरियों के लिए विंडोज प्लेटफ़ॉर्म पर अनुप्रयोगों को स्कैन करते हैं और वास्तव में डीएलएल फ़ाइलों को अपहृत करने से नहीं रोकते हैं।
डीएलएल अपहरण को कैसे रोकें
इस मुद्दे को प्रोग्रामर द्वारा पहले स्थान पर निपटाया जाना चाहिए क्योंकि आपके सुरक्षा प्रणालियों को गोद लेने के अलावा आप इतना कुछ नहीं कर सकते हैं। यदि, एक सापेक्ष पथ की बजाय, प्रोग्रामर पूर्ण पथ का उपयोग शुरू करते हैं, तो भेद्यता कम हो जाएगी। पूर्ण पथ पढ़ना, विंडोज या कोई अन्य ऑपरेटिंग सिस्टम पथ के लिए सिस्टम चर पर निर्भर नहीं होगा और सीधे डीएलएल के लिए सीधे जाएगा, जिससे डीएलएल को उच्च प्राथमिकता पथ में लोड करने की संभावनाओं को खारिज कर दिया जाएगा। यह विधि भी असफल नहीं है क्योंकि अगर सिस्टम से समझौता किया गया है, और साइबर अपराधियों को डीएलएल का सही मार्ग पता है, तो वे नकली डीएलएल के साथ मूल डीएलएल को प्रतिस्थापित करेंगे। वह फ़ाइल को ओवरराइट कर देगा ताकि मूल डीएलएल दुर्भावनापूर्ण कोड में बदल दिया जा सके। लेकिन फिर, साइबरक्रिमिनल को डीएलएल के लिए कॉल करने वाले एप्लिकेशन में उल्लिखित सटीक पूर्ण पथ को जानने की आवश्यकता होगी। साइबर अपराधियों के लिए प्रक्रिया कठिन है और इसलिए इसकी गणना की जा सकती है।
आप जो कर सकते हैं उस पर वापस आकर, अपने विंडोज सिस्टम को बेहतर तरीके से सुरक्षित करने के लिए बस अपने सुरक्षा सिस्टम को स्केल करने का प्रयास करें। एक अच्छा फ़ायरवॉल का प्रयोग करें। यदि संभव हो, तो हार्डवेयर फ़ायरवॉल का उपयोग करें या राउटर फ़ायरवॉल चालू करें। अच्छे घुसपैठ का पता लगाने सिस्टम का उपयोग करें ताकि आप जान सकें कि कोई आपके कंप्यूटर के साथ खेलने का प्रयास कर रहा है या नहीं।
यदि आप समस्या निवारण कंप्यूटर में हैं, तो आप अपनी सुरक्षा के लिए निम्न कार्य भी कर सकते हैं:
- रिमोट नेटवर्क शेयरों से डीएलएल लोडिंग को अक्षम करें
- WebDAV से DLL फ़ाइलों को लोड करने में अक्षम करें
- वेब क्लाइंट सेवा को पूरी तरह से अक्षम करें या इसे मैन्युअल पर सेट करें
- टीसीपी बंदरगाहों को 445 और 13 9 अवरुद्ध करें क्योंकि इन्हें कंप्यूटर समझौता करने के लिए सबसे अधिक उपयोग किया जाता है
- ऑपरेटिंग सिस्टम और सुरक्षा सॉफ्टवेयर के लिए नवीनतम अद्यतन स्थापित करें।
माइक्रोसॉफ्ट डीएलएल लोड अपहरण हमलों को अवरुद्ध करने के लिए एक उपकरण जारी किया है। यह उपकरण DLL फ़ाइलों से असुरक्षित रूप से लोड होने वाले कोड से अनुप्रयोगों को रोककर डीएलएल अपहरण के हमलों के जोखिम को कम करता है।
यदि आप लेख में कुछ भी जोड़ना चाहते हैं, तो कृपया नीचे टिप्पणी करें।
