Что процесс может получить от прикосновения dll другого приложения?

Question

Что процесс может получить от прикосновения dll другого приложения?

вот скриншот Process Monitor, на котором показан процесс AliIM.exe делает что-то с dll из TeamViewer

поскольку TeamViewer-это приложение для удаленного управления, у меня есть некоторые проблемы безопасности, получит ли он мои учетные данные TeamViewer этими действиями? Процесс не запрашивает привилегии администратора при запуске.

Process monitor войти в формате csv, с " показать процесс и поток деятельности" включенный.

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"

"7:59:16.2471434 PM","AliIM.exe","30332","Process Start","","SUCCESS","Parent PID: 11168, Command line: ""C:Program Files (x86)AliWangWangAliIM.exe"" /run:desktop, Current directory: C:Program Files (x86)AliWangWang, Environment: 

"7:59:16.2471586 PM","AliIM.exe","30332","Thread Create","","SUCCESS","Thread ID: 29216"

"7:59:16.2940980 PM","AliIM.exe","30332","CreateFile","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

"7:59:16.2941329 PM","AliIM.exe","30332","QueryBasicInformationFile","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS","CreationTime: 10/22/2013 10:47:30 PM, LastAccessTime: 8/14/2014 2:57:05 PM, LastWriteTime: 8/4/2014 3:36:25 PM, ChangeTime: 8/14/2014 2:57:14 PM, FileAttributes: A"

"7:59:16.2941485 PM","AliIM.exe","30332","CloseFile","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS",""

"7:59:16.2942881 PM","AliIM.exe","30332","CreateFile","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS","Desired Access: Read Data/List Directory, Execute/Traverse, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a, OpenResult: Opened"

"7:59:16.2943492 PM","AliIM.exe","30332","CreateFileMapping","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "

"7:59:16.2944498 PM","AliIM.exe","30332","CreateFileMapping","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS","SyncType: SyncTypeOther"

"7:59:16.2945615 PM","AliIM.exe","30332","Load Image","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS","Image Base: 0x6cff0000, Image Size: 0x1a000"

"7:59:16.2945812 PM","AliIM.exe","30332","CloseFile","C:Program Files (x86)TeamViewerVersion8tv_w32.dll","SUCCESS",""

"7:59:16.2948406 PM","AliIM.exe","30332","CreateFile","C:Program Files (x86)TeamViewerVersion8VERSION.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"

"7:59:16.2960652 PM","AliIM.exe","30332","CreateFile","C:Program Files (x86)TeamViewerVersion8CRTDLL.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"

12

задан Edward

16.01.2023 17:13 Количество просмотров материала

3062

2 ответа

90	54	27	63	5	7	9	5	4	18

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Email

Похожие вопросы про тегам:

procmon

Командная строка Procmon не сохраняет отфильтрованный вывод

windows

score 3 · Answer 1

то, что вы наблюдаете, может быть установка для атаки под названием DLL инъекции, процесс, с помощью которого вредоносная программа может принудительно выполнить код в другом процессе, в данном случае teamviewer. Это позволяет атаковать занимаемую память выполняющихся процессов или изменять ее стандартное поведение.

там никакой простой способ сказать чего оно хочет сделать, но я предположил бы с своего Алибаба, что оно хочет мочь увидеть данные по соединения внутри зашифрованный туннель, что TeamViewer использует для защиты своего соединения с eavsdropping. Если teamviewer хранит криптографические ключи в оперативной памяти (насколько это возможно), программа может иметь доступ к этим ключам или даже иметь возможность наблюдать за действиями входа в реальном времени.

score 0 · Answer 2

возможно, этому есть и другие объяснения.

обычный поиск DLL-случайно с тем же именем

имея только эту трассировку, мы видим, что процесс ищет три DLL в папке TeamViewer:tv_w32.dll,VERSION.dll (MS Helper DLL Windows) и CRTDLL.dll (среда МС с).

может быть там работает регулярный поиск DLL после поиск заказ. И путь TeamViewer, кажется, находится в порядок поиска. Почему еще должен Алим.exe искать две библиотеки DLL MS в этой папке?

Если это правда, то процесс просто ищет tv_w32.dll и, случайно, TeamViewer имеет dll с таким именем. (На азиатских страницах, похоже, обсуждается tv_w32.dll, которая не является частью TeamViewer).

любой вид missuse / атаки

С тех пор мы знаем, что Алим.exe является вредоносным ПО это может быть атака. В этом случае AliIM.exe может понадобиться "всего лишь" некоторые функции программы. Он загружает библиотеку dll и использует внутренние функции TeamViewer для собственных целей.

инструменты Зависимость Walker и Rohtap API Monitor было бы полезно отследить его.

Apple	$173,24	+0,81%
Amazon	$114,49	-1,94%
Microsoft	$325,19	+3,61%
Google	$123,44	+2,11%
Netflix	$364,74	-0,03%
Intel	$27,45	-5,34%
Facebook	$254,49	+2,11%
Tesla	$185,54	+1,44%
Tencent	$322,40	-3,01%