Windows

डीएलएल अपहरण भेद्यता हमलों, रोकथाम और जांच

Surat: Transport effect of rising gasoline and diesel prices ॥ Sandesh News TV

Surat: Transport effect of rising gasoline and diesel prices ॥ Sandesh News TV

विषयसूची:

Anonim

डीएलएल गतिशील लिंक पुस्तकालयों के लिए खड़ा है और विंडोज या किसी अन्य ऑपरेटिंग सिस्टम पर चलने वाले अनुप्रयोगों के बाहरी भाग हैं। अधिकांश एप्लिकेशन स्वयं में पूर्ण नहीं होते हैं और विभिन्न फ़ाइलों में कोड संग्रहित नहीं करते हैं। यदि कोड की आवश्यकता है, तो संबंधित फाइल स्मृति में लोड की जाती है और उपयोग की जाती है। इससे RAM के उपयोग को अनुकूलित करते समय एप्लिकेशन फ़ाइल आकार कम हो जाता है। यह आलेख बताता है कि डीएलएल अपहरण और इसका पता लगाने और उसे रोकने के लिए क्या है।

डीएलएल फ़ाइलें या डायनामिक लिंक लाइब्रेरीज़ क्या हैं

डीएलएल फाइलें डायनामिक लिंक लाइब्रेरीज़ हैं और नाम से स्पष्ट हैं, एक्सटेंशन हैं विभिन्न अनुप्रयोगों के। हमारे द्वारा उपयोग किए जाने वाले किसी भी एप्लिकेशन में कुछ कोड का उपयोग हो सकता है या नहीं। ऐसे कोड अलग-अलग फाइलों में संग्रहीत होते हैं और जब संबंधित कोड की आवश्यकता होती है तो केवल रैम में ही लोड या लोड किया जाता है। इस प्रकार, यह एप्लिकेशन फ़ाइल को बहुत बड़ा होने और एप्लिकेशन द्वारा संसाधन होगिंग को रोकने से बचाता है।

डीएलएल फाइलों के लिए पथ विंडोज ऑपरेटिंग सिस्टम द्वारा सेट किया गया है। पथ वैश्विक पर्यावरण चर का उपयोग कर सेट किया गया है। डिफ़ॉल्ट रूप से, यदि कोई एप्लिकेशन एक डीएलएल फ़ाइल का अनुरोध करता है, तो ऑपरेटिंग सिस्टम उसी फ़ोल्डर में दिखता है जिसमें एप्लिकेशन संग्रहीत होता है। यदि यह वहां नहीं मिला है, तो यह वैश्विक चर द्वारा निर्धारित अन्य फ़ोल्डरों पर जाता है। पथ से जुड़ी प्राथमिकताएं हैं और यह विंडोज़ को यह निर्धारित करने में सहायता करती है कि डीएलएल के लिए कौन से फ़ोल्डरों को देखना है। यह वह जगह है जहां डीएलएल अपहरण आता है।

डीएलएल अपहरण क्या है

चूंकि डीएलएल एक्सटेंशन हैं और आपकी मशीनों पर लगभग सभी अनुप्रयोगों का उपयोग करने के लिए आवश्यक हैं, इसलिए वे कंप्यूटर पर अलग-अलग फ़ोल्डर्स में मौजूद हैं। यदि मूल DLL फ़ाइल को नकली DLL फ़ाइल के साथ प्रतिस्थापित किया गया है जिसमें दुर्भावनापूर्ण कोड है, तो इसे डीएलएल अपहरण के रूप में जाना जाता है।

जैसा कि पहले बताया गया है, वहां प्राथमिकताएं हैं कि ऑपरेटिंग सिस्टम DLL फ़ाइलों को कहां देखता है। सबसे पहले, यह एप्लिकेशन फ़ोल्डर के समान फ़ोल्डर में दिखता है और फिर ऑपरेटिंग सिस्टम के पर्यावरण चर द्वारा निर्धारित प्राथमिकताओं के आधार पर खोज करता है। इस प्रकार यदि कोई good.dll फ़ाइल SysWOW64 फ़ोल्डर में है और कोई ऐसे फ़ोल्डर में bad.dll रखता है जिसमें SysWOW64 फ़ोल्डर की तुलना में उच्च प्राथमिकता है, तो ऑपरेटिंग सिस्टम bad.dll फ़ाइल का उपयोग करेगा, क्योंकि इसका नाम डीएलएल जैसा है आवेदन द्वारा अनुरोध किया गया। एक बार रैम में, यह फ़ाइल में निहित दुर्भावनापूर्ण कोड निष्पादित कर सकता है और आपके कंप्यूटर या नेटवर्क से समझौता कर सकता है।

डीएलएल अपहरण का पता लगाने के लिए

डीएलएल अपहरण का पता लगाने और रोकने का सबसे आसान तरीका तीसरे पक्ष के औजारों का उपयोग करना है। बाजार में कुछ अच्छे निःशुल्क टूल उपलब्ध हैं जो डीएलएल हैक प्रयास का पता लगाने में मदद करते हैं और इसे रोकते हैं।

ऐसा एक प्रोग्राम डीएलएल हाइजैक ऑडिटर है लेकिन यह केवल 32-बिट अनुप्रयोगों का समर्थन करता है। आप इसे अपने कंप्यूटर पर इंस्टॉल कर सकते हैं और अपने सभी विंडोज अनुप्रयोगों को स्कैन कर सकते हैं यह देखने के लिए कि सभी एप्लिकेशन डीएलएल अपहरण के लिए कमजोर हैं। इंटरफ़ेस सरल और आत्म-स्पष्टीकरणपूर्ण है। इस एप्लिकेशन का एकमात्र दोष यह है कि आप 64-बिट अनुप्रयोगों को स्कैन नहीं कर सकते हैं।

DLL अपहरण, DLL_HIJACK_DETECT का पता लगाने के लिए एक अन्य प्रोग्राम, गिटहब के माध्यम से उपलब्ध है। यह प्रोग्राम यह देखने के लिए एप्लिकेशन जांचता है कि उनमें से कोई भी डीएलएल अपहरण के लिए कमजोर है या नहीं। यदि ऐसा है, तो कार्यक्रम उपयोगकर्ता को सूचित करता है। एप्लिकेशन में दो संस्करण हैं - x86 और x64 ताकि आप क्रमशः 32 बिट और 64 बिट अनुप्रयोगों को स्कैन करने के लिए प्रत्येक का उपयोग कर सकें।

यह ध्यान दिया जाना चाहिए कि उपर्युक्त प्रोग्राम केवल कमजोरियों के लिए विंडोज प्लेटफार्म पर अनुप्रयोगों को स्कैन करते हैं और वास्तव में नहीं डीएलएल फाइलों के अपहरण को रोकने के लिए।

डीएलएल अपहरण को कैसे रोकें

इस मुद्दे को प्रोग्रामर द्वारा पहले स्थान पर निपटाया जाना चाहिए क्योंकि आपके सुरक्षा प्रणालियों को गोद लेने के अलावा आप इतना कुछ नहीं कर सकते हैं। यदि, एक सापेक्ष पथ की बजाय, प्रोग्रामर पूर्ण पथ का उपयोग शुरू करते हैं, तो भेद्यता कम हो जाएगी। पूर्ण पथ पढ़ना, विंडोज या कोई अन्य ऑपरेटिंग सिस्टम पथ के लिए सिस्टम चर पर निर्भर नहीं होगा और सीधे डीएलएल के लिए सीधे जाएगा, जिससे डीएलएल को उच्च प्राथमिकता पथ में लोड करने की संभावनाओं को खारिज कर दिया जाएगा। यह विधि भी असफल नहीं है क्योंकि अगर सिस्टम से समझौता किया गया है, और साइबर अपराधियों को डीएलएल का सही मार्ग पता है, तो वे नकली डीएलएल के साथ मूल डीएलएल को प्रतिस्थापित करेंगे। वह फ़ाइल को ओवरराइट कर देगा ताकि मूल डीएलएल दुर्भावनापूर्ण कोड में बदल दिया जा सके। लेकिन फिर, साइबरक्रिमिनल को डीएलएल के लिए कॉल करने वाले एप्लिकेशन में उल्लिखित सटीक पूर्ण पथ को जानने की आवश्यकता होगी। साइबर अपराधियों के लिए प्रक्रिया कठिन है और इसलिए इसकी गणना की जा सकती है।

आप जो कर सकते हैं उस पर वापस आकर, अपने विंडोज सिस्टम को बेहतर तरीके से सुरक्षित करने के लिए बस अपने सुरक्षा सिस्टम को स्केल करने का प्रयास करें। एक अच्छा फ़ायरवॉल का प्रयोग करें। यदि संभव हो, तो हार्डवेयर फ़ायरवॉल का उपयोग करें या राउटर फ़ायरवॉल चालू करें। अच्छे घुसपैठ का पता लगाने सिस्टम का उपयोग करें ताकि आप जान सकें कि कोई भी आपके कंप्यूटर के साथ खेलने का प्रयास कर रहा है।

यदि आप कंप्यूटर को समस्या निवारण में हैं, तो आप अपनी सुरक्षा के लिए निम्न कार्य भी कर सकते हैं:

  1. दूरस्थ नेटवर्क शेयरों से डीएलएल लोडिंग को अक्षम करें
  2. वेबएडीवी से डीएलएल फाइलों को लोड करने में अक्षम करें
  3. वेब क्लाइंट सेवा को पूरी तरह से अक्षम करें या इसे मैन्युअल पर सेट करें
  4. टीसीपी पोर्ट 445 और 13 9 को अवरुद्ध करें क्योंकि उन्हें कंप्यूटर समझौता करने के लिए सबसे अधिक उपयोग किया जाता है
  5. ऑपरेटिंग के लिए नवीनतम अपडेट इंस्टॉल करें सिस्टम और सुरक्षा सॉफ्टवेयर।

माइक्रोसॉफ्ट ने डीएलएल लोड अपहरण के हमलों को अवरुद्ध करने के लिए एक उपकरण जारी किया है। यह टूल DLL फ़ाइलों से असुरक्षित रूप से लोड होने वाले कोड से अनुप्रयोगों को रोककर डीएलएल अपहरण के हमलों के जोखिम को कम करता है।

यदि आप लेख में कुछ भी जोड़ना चाहते हैं, तो कृपया नीचे टिप्पणी करें।