アレ用の何か
PE ファイルに関していまさら私が語るようなことなど一つもないんですが、リンカもどきを作る上では避けては通れないと思ったので・・・。しばらく PE ファイルの構造や各種データの構造や取り出し方を説明したいと思います。 PEファイルフォーマットって何? PEファイルフォーマットは Windows のローダが認識してくれる実行可能ファイルのフォーマットの一つです。「Windows のローダが認識してくれる実行可能ファイル」というのは拡張子が EXE, DLL, OCX, VxD などのファイルのことです。 実行可能なのは EXE だけだと思うかもしれませんが、起動可能と実行可能はまた別の意味ということです。まぁ、そういった誤解を避けるために実行可能ファイルのことを一般的にイメージファイルと呼んでいるんですが。もちろん画像ファイルのことではなく、「メモリイメージ」をあらわしたファイルという意味だ
Windows DLLプリロード攻撃の新しいパターンと防御法
概要 Windows DLLプリロード攻撃と呼ばれる脆弱性攻撃がありますが、原因や対応方法は広く知られています。(*1) しかし、「特定のCOM I/F」や「WinAPI」の内部で「パス指定なしでDLLがロードされる」という、あまり知られていない経路があるのでご注意、というお話。 技術詳細 手元のWindows10Pro(x64)上で、FastCopyインストーラ(x64)で確認した範囲では、下記のようなAPIで「不正なDLLの読み込みとそのDllMainが呼ばれること」を確認しています。(*2) IShellLink/IPersistFile COM I/F(ショートカット作成)のメンバ関数を呼び出すと、パス指定なしで"linkinfo.dll"等がロードされる。 ShellExecute API(ファイル/フォルダを開く)を呼び出すと、パス指定なしで"edputil.dll"等がロード
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Why doesn't GHCi on Windows find my DLL
