【慧聪通信网】DLL劫持(DLLHijackingExploit)攻击出现以后，老外就发了DLL挟持fuzz的工具供爱好者挖掘自己电脑里面存在DLL挟持漏洞的软件。

    1.DLLHijackAuditKit

    这个软件会枚举系统中所有文件后缀名，然后根据processmon的日志找出那些可能存在DLL挟持漏洞的软件，同时会生成exp文件，不过一次运行的时间还是比较长的。

    2.DllHijackAuditorv

    这个软件测试了下感觉还行，不像DLLHijackAuditKit可以自动查找所有可能存在的软件，不过用来针对性查找相应程序的DLL挟持漏洞还是可以的，以下是“美图看看”DLL劫持攻击检测结果，显然这个版本的“美图看看”存在DLL劫持攻击漏洞。

    另外，微软帮助和支持中心发布了一个新的CWDIllegalInDllSearch注册表项来控制DLL搜索路径算法。

    CWDIllegalInDllSearch注册表项的工作方式

    应用程序在不指定完全限定路径的情况下动态加载DLL时，Windows将尝试在一组明确定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后就会加载该DLL。如果Windows按DLL搜索顺序没有在任何目录中找到DLL，则会为DLL加载操作返回一个失败结果。

    LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是这两个函数的DLL搜索顺序：

    从其中加载应用程序的目录

    系统目录

    16位系统目录

    Windows目录

    当前工作目录(CWD)

    PATH环境变量中列出的目录

    注：资料来源，锈剑博客、铁军博客。

 http://www.35176.com/shop/