Question

HKML \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ KnownDLLs

Какова цель KnownDLLs (чтобы быстрее загружать некоторые DLL?)У меня есть токен администратора, я могу контролировать параметры реестра.
Нет ли дыры в безопасности?

Почему Microsoft поддерживает эту функцию?

Chris Becke · Answer 1 · 24 августа 2010

Единственное, что делает KnownDLLs, - это предотвращает загрузку неявно загруженных DLL-файлов из папки приложений.

По соображениям безопасности единственная папка, в которой действует «KnownDll», - это c: \ Windows \ System32 (иливаш локализованный эквивалент) - и эта папка занимает 2-е место в списке поиска после папки процесса.

По сути, она предотвращает загрузку поддельных копий системных библиотек DLL, таких как kernel32.dll, из папки приложений..

Не останавливает приложение, загружающее dll, используя полный путь.Это не останавливает длительный поиск пути или обнаружение системных dll в пути - в любом случае system32 всегда ищется перед этими местоположениями.

Rowland Shaw · Answer 2 · 24 августа 2010

Это позволяет игнорировать обычный путь поиска DLL и загружать указанную версию.

Хотя это и не дыра в безопасности как таковая (поскольку вам уже необходимы права администратора для изменения значения), можно было бы перенаправлять вызовы для прохождения через мошенническую DLL.

Эта функция была добавлена для повышения производительности, поскольку нет необходимости сканировать несколько потенциально больших каталогов, чтобы найти DLL.

Ian Boyd · Answer 3 · 29 июля 2017

Microsoft добавила эту функцию в остановку дыры в безопасности.

Объявляя win32k.sys как Известный dll , часть вредоносного вредоносного ПО не может быть отброшенаон win32k.sys находится в папке вашего приложения и обманывает вас при запуске кода злоумышленника.

Все известные библиотеки будут загружаться только из их правильного, защищенного местоположения.

Tim Robinson · Answer 4 · 24 августа 2010

Это не дыра в безопасности, если вы полагаетесь на то, что вы являетесь администратором. Если вы уже являетесь администратором, есть более простые способы ввести в систему мошеннические библиотеки DLL (например, скопировать их поверх операционной системы).

Это пример того, что Раймонд Чен называет находящимся по другую сторону этого герметичного люка .

Microsoft Известная DLL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Microsoft Известная DLL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов