DLL劫持检测工具DllHijackAuditor免费下载

Dll Hijack Auditor是一款非常实用的DLL劫持检测工具。DLL劫持检测工具Dll Hijack Auditor避免木马病毒通过劫持dll动态库文件的方式来实现自身的加载运行，DLL劫持检测工具Dll Hijack Auditor可以有效的避免木马病毒劫持动态库文件。

常见问题

dll劫持的如何防止DLL劫持?

DLL劫持利用系统未知DLL的搜索路径方式，使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置，改变加载系统DLL的顺序不是当前目录，而是直接到系统目录下查找。

这个想法可以通过修改注册表实现。

在注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

是调用系统DLL的首要查找目录。例如里面有RE_SZ类型的ntdll=ntdll.dll项，则系统载入ntdll时会直接从系统目录加载。

由此，添加LPK=LPK.DLL即可防止LPK被劫持，同理可以阻止一些其他DLL被劫持，例如USP10。

在Windows NT系统，XP默认只有少数关键DLL在此键值下，Win7下面此键值已经相当齐全，在Win7系统下发生DLL劫持的概率要比XP小很多。

DLL文件劫持应该怎么办?

DLL当一个可执行文件运行时，Windows加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，并将它们映射到进程的地址空间中。

由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果没找到，则在Windows系统目录查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的DLL，提供同样的输出表，每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL，完成相关功能后，再跳到系统DLL同名函数里执行，如图18.4。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。