您好 我也需要一份11g101图集 可以发给我一份吗 我的邮箱是_百度知道
您好 我也需要一份11g101图集 可以发给我一份吗 我的邮箱是
我有更好的答案
11g101图集己发送，请及时查收。
钢筋平法多媒体教学系统新老图集视频课件都有钢筋绑扎前先认真熟悉图纸，检查配料表与图纸、设计是否有出入，仔细检查成品尺寸、心头是否与下料表相符。核对无误后方可进行绑扎。 　　采用20#铁丝绑扎直径12以上钢筋，22#铁丝绑扎直径10以下钢筋。 　　（1）墙 　　①墙的钢筋网绑扎同基础。钢筋有90°弯钩时，弯钩应朝向混凝土内。 　　②采用双层钢筋网时，在两层钢筋之间，应设置撑铁（钩）以固定钢筋的间距。 　　③墙筋绑扎时应吊线控制垂直度，并严格控制主筋间距。剪力墙上下两边三道水平处应满扎，其余可梅花点绑扎。 　　④为了保证钢筋位置的正确，竖向受力筋外绑一道水平筋或箍筋，并将其与竖筋点焊，以固定墙、柱筋的位置，在点焊固定时要用线锤校正。 　　⑤外墙浇筑后严禁开洞，所有洞口预埋件及埋管均应预留，洞边加筋详见施工图。墙、柱内预留钢筋做防雷接地引线，应焊成通路。其位置、数量及做法详见安装施工图，焊接工作应选派合格的焊工进行，不得损伤结构钢筋，水电安装的预埋，土建必须配合，不能错埋和漏埋。 　　（2）梁与板 　　①纵向受力钢筋出现双层或多层排列时，两排钢筋之间应垫以直径15mm的短钢筋，如纵向钢筋直径大于25mm时，短钢筋直径规格与纵向钢筋相同规格。 　　②箍筋的接头应交错设置，并与两根架立筋绑扎，悬臂挑梁则箍筋接头在下，其余做法与柱相同。梁主筋外角处与箍筋应满扎，其余可梅花点绑扎。 　　③板的钢筋网绑扎与基础相同，双向板钢筋交叉点应满绑。应注意板上部的负钢筋（面加筋）要防止被踩下；特别是雨蓬、挑檐、阳台等悬臂板，要严格控制负筋位置及高度。 　　④板、次梁与主梁交叉处，板的钢筋在上，次梁的钢筋在中层，主梁的钢筋在下，当有圈梁或垫梁时，主梁钢筋在上。 　　⑤楼板钢筋的弯起点，如加工厂（场）在加工没有起弯时，设计图纸又无特殊注明的，可按以下规定弯起钢筋，板的边跨支座按跨度1/10L为弯起点。板的中跨及连续多跨可按支座中线1/6L为弯起点。（L—板的中一中跨度）。 　　⑥框架梁节点处钢筋穿插十分稠密时，应注意梁顶面主筋间的净间距要有留有30mm，以利灌筑混凝土之需要。 　　⑦钢筋的绑扎接头应符合下列规定： 　　1）搭接长度的末端距钢筋弯折处，不得小于钢筋直径的10倍，接头不宜位于构件最大弯矩处。 　　2）受拉区域内，Ⅰ级钢筋绑扎接头的末端应做弯钩，Ⅱ级钢筋可不做弯钩。 　　3）钢筋搭接处，应在中心和两端用铁丝扎牢。 　　4）受拉钢筋绑扎接头的搭接长度，应符合结构设计要求。 　　5）受力钢筋的混凝土保护层厚度，应符合结构设计要求。 　　6）板筋绑扎前须先按设计图要求间距弹线，按线绑扎，控制质量。 　　7）为了保证钢筋位置的正确，根据设计要求，板筋采用钢筋马凳纵横＠600予以支撑。
我也需要.我邮箱
其他类似问题
图集的相关知识
您可能关注的推广
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁您好，我也需要《IT大保镖》的全本台词，谢谢，发到我邮箱_百度知道
您好，我也需要《IT大保镖》的全本台词，谢谢，发到我邮箱
我来帮他解答
其他类似问题
大保镖的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁您好，我也需要XT535刷机教程，谢谢，邮箱：_百度知道
您好，我也需要XT535刷机教程，谢谢，邮箱：
我有更好的答案
按默认排序
VHGJKGJKLJLJ;LK
其他类似问题
您可能关注的推广
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁安全部队2011，能否防御DLL劫持漏洞病毒
该用户从未签到
回复&&Wesly.Zhang
。。。。。无语了。。。。。首先，这个漏洞涉及数百第三方软件，微软的安全公告明确说 ...
峪飞鹰 发表于
尊敬的峪飞鹰，您好！
请您淡定，问题会得到解决的。只是一个时间问题不是嘛？
该用户从未签到
各位，正对这个问题，我抛出以下几个可以讨论的话题：
1，这个DLL漏洞有无被利用的优势？
针对这个问题，我认为没有。原因有如下几点：
a，网络犯罪分子需要找到存在这类问题的应用程序，费时不说还费力，还需要测试每个同名DLL在不同位置上会不会被意外加载，漏洞利用远远没有图片漏洞实现的容易。
b，退一步说，这个恶意DLL要利用这种漏洞的话，首先自己肯定被恶意软件进程所创建，否则不可能会有一个单独的DLL文件存在。那么，我认为既然已经存在恶意软件进程了，那么用这个被“二次利用漏洞”，又有什么意义？恶意软件进程都在活动当中了，反病毒软件没有检测到，此时保护已经完全失效，何必在意这种漏洞被利用呢？
c，这个漏洞唯一被利用的可能就是我们所说的“死灰复燃”，也就是反病毒软件清除了恶意软件宿主，用户运行一个带有此个漏洞提到的缺乏载入DLL文件路径审查的应用程序，而且被这个应用程序读取的文档需要与恶意dll文件位于同一目录，需要有如下几个条件才能够触发问题。那么我们就要问了，恶意软件需要判断用户那些文件放在了哪些文件目录内，要不干脆全盘目录枚举，然后在每个目录里面放上一个恶意DLL？这样做真是写的极为糟糕的恶意软件，利用这种还不如直接感染文件来的方便。而且这种通过在一个文件夹内加一个DLL的方法最容易被用户发现。
d，微软在漏洞描述时，使用了如下几个可能会时DLL被加载的地方，这些地方只有在企业网络中会存在，对于一般用户根本就不会碰到，比如“共享文件夹”与“”，这个一般用户都不会使用到，这些只有在企业局域网中才可能接触到，如果一台这类“共享服务器”或者“WebDAV”上存在这类问题，我认为企业的网络的管理者应该被开除，不是吗？
我认为呢，不要夸大这个漏洞对于普通用户的影响，其实这个问题微软自己的Office出了问题，给写了一个公告，以混淆视听。
该用户从未签到
Wesly.Zhang
对于a，没有意见。
对于b，我之前早就说过了。完全可以只让dll进入系统，而不让释放dll的exe进入。只需要将一个私自打包的安装包或者绿色免安装软件放到网络上，然后弄个醒目的标题，比如卡巴斯基2012完美无敌破解软件，超级qq刷钻机，就可以让那个dll进入大量用户电脑。
对于c，什么叫写的烂？我觉得，不管黑鼠白鼠能躲过猫的老鼠就是好老鼠。逃过安全软件，达到大量盗号目的，就是成功的木马。
对于d，不熟悉这方面。
PS:今天下午我查了下，win7对于大部分系统dll劫持是免疫的。xp的lkp补丁好像也发布了。所以系统dll劫持没前途了。
该用户从未签到
回复&&Wesly.Zhang
对于a，没有意见。
对于b，我之前早就说过了。完全可以只让dll进入系统，而不让释放dl ...
<font color="#2586971 发表于
尊敬的，您好！
对于您说的关于b方面的情况，修改安装包运行程序的，也是要运行进程，否则DLL无法加载，那还不如直接修改exe文件来的有效率，何必要一个拖油瓶DLL。同时该说法也不是本次微软这个公告报的DLL载入漏洞涉及的利用方式。以DLL为身份出现作为某补丁、某破解让用户替换某官方dll文件来作用的，不属于本次微软的这个DLL漏洞涉及的范畴，所以不再此次讨论范围内。
对于C方面，我认为利用这种方法本身没有任何优势，一个DLL能做什么？最多盗号，自己保护自己的能力没有，没有驱动的支持。
对于D方面的相关问题，如果看得懂英文版的公告的话，应该知道我为什么这么说。
该用户从未签到
Wesly.Zhang
本来已经无意继续回复此帖，但是看到斑竹的发帖后，还是忍不住上来说一下。
a，网络犯罪分子需要找到存在这类问题的应用程序，费时不说还费力，还需要测试每个同名DLL在不同位置上会不会被意外加载，漏洞利用远远没有图片漏洞实现的容易。
要查找这样的漏洞并不复杂，使用微软的ProcessMonitor就可以完成对一款软件的漏洞检查了。方法是：生成一个该软件关联的扩展名文档文件，将其放置在一个空目录中，打开ProcessMonitor，设置Filter过滤目标exe文件，双击扩展名文档，然后观察记录。里面会记录下多条FILE NOT FOUND记录，每条记录会给出一个路径和文件名，如果发现是dll的文件名，并且路径是扩展名文档所在路径（抑或是扩展名文档所在路径下的子路径），则表明找到劫持漏洞了。接下来的工作可以对目标DLL进行调试器检测，查找函数入口点和对应的压栈规则，分析出函数参数（一般DLL的导出函数都有函数名，如果遇到无函数名的函数，可尝试在调试器内拦截LoadLibrary后分析其调用参数来获得函数序号）。当然，这个步骤是老鸟做的。其实留意一下上次icon的泄漏就会发现，LoadLibrary加载DLL后会首先调用DLLMain函数，其实这里也可以作为攻击代码执行的部位，所以分析DLL中的函数来伪装就并不是必须的步骤。如果DLL被目标exe加载后，LoadLibrary完成后，尝试GetProcAddress返回不了查找的函数入口指针，应用程序可能会崩溃（一般不会，除非哪个白痴菜鸟根本不检测GetProcAddress的返回值），即使不崩溃也可能有错误提醒。黑客如果要攻击可以多次尝试。
目前根据exploit-db掌握的信息，存在泄漏的应用程序已知有如下这些（hxxp://www[dot]exploit-db[dot]com/dll-hijacking-vulnerable-applications/）：
ArchiCad 13.00&&(srcsrv.dll) – SeyFellaH
Nokia Suite contentcopier&&(wintab32.dll) – nuclear
Nokia Suite communicationcentre&&(wintab32.dll) – nuclear
Sony Sound Forge Pro 10.0 (MtxParhVegasPreview.dll) – CCNA
Camtasia Studio 7&&(mfc90enu.dll, mfc90loc.dll)&&– p4r4n0id
Media Player Classic v1.3.2189.0&&(ehtrace.dll) – Nishant Das Patnaik
Microsoft Help and Support Center&&(wshfra.dll) – HxH
Microsoft Clip Book Viewer (mfaphook.dll) – Beenu Arora
Real Player 1.1.5 Build 12.0.0.879&&(wnaspi32.dll) – v3n0m
SiSoftware Sandra&&(dwmapi.dll) – ALPdaemon
SMPlayer v0.6.9 (wintab32.dll) – Alvaro Ovalle
Winmerge v2.12.4 (MFC71ESN.DLL) – Alvaro Ovalle
Steam Games (steamgamesupport.dll) – storm
UltraISO Premium 9.36 .isz (daemon.dll) – Mohamad Ramadan
wscript.exe (XP)&&(wshfra.dll) – Mohamed Clay
Autodesk AutoCAD 2007&&(color.dll) – xsploited securit.
Daemon tools lite .mds (mfc80loc.dll) – Mohamed Clay
Google Earth v5.1. .kmz&&(quserex.dll) – LiquidWorm – Verified
Nullsoft Winamp 5.581 .cda&&(wnaspi32.dll) – LiquidWorm – Verified
Media Player Classic 6.4.9.1&&.mka (iacenc.dll) – LiquidWorm – Verified
Corel PHOTO-PAINT X3 v13.0.0.576 .cpt&&(crlrib.dll) – LiquidWorm – Verified
CorelDRAW X3 v13.0.0.576 .cmx .csl&&(crlrib.dll) – LiquidWorm
Adobe ExtendedScript Toolkit CS5 v3.5.0.52&&(dwmapi.dll) – LiquidWorm
Adobe Extension Manager CS5 v5.0.298&&(dwmapi.dll) – LiquidWorm
Mozilla Thunderbird&&( dwmapi.dll ) – h4ck3r#47
Microsoft Office PowerPoint 2007&&(rpawinet.dll) – sToRm
Roxio MyDVD 9&&(HomeUtils9.dll) – sToRm
Windows Internet Communication Settings&&(schannel.dll) – ALPdaemon
Microsoft Windows Contacts&&(wab32res.dll) – sToRm
Adobe InDesign CS4&&(ibfs32.dll) – Glafkos Charalamb.
Cisco Packet Tracer 5.2&&(wintab32.dll) – CCNA
Nvidia Driver&&(nview.dll) – Encrypt3d.M!nd
Adobe Illustrator CS4&&(aires.dll) – Glafkos Charalamb.
Adobe On Location CS4&&(ibfs32.dll) – Glafkos Charalamb.
Adobe Premier Pro CS4&&(ibfs32.dll) – Glafkos Charalamb.
Roxio Creator DE&&(HomeUtils9.dll) – sToRm
Skype &= 4.2.0.169&&(wab32.dll) – Glafkos Charalamb.
Mediaplayer Classic 1.3.2189.0&&(iacenc.dll) – Encrypt3d.M!nd
TechSmith Snagit 10 (Build 788)&&(dwmapi.dll) -& &&&Encrypt3d.M!nd
Ettercap NG-0.7.3&&(wpcap.dll) – Teo Manojlovic
Microsoft Group Convertor .grp (imm.dll) – Beenu Arora
Safari v5.0.1&&(dwmapi.dll) – Secfence
Adobe Device Central CS5&&(qtcf.dll) – Glafkos Charalamb.
Microsoft Internet Connection Signup Wizard&&(smmscrpt.dll) – Beenu Arora
InterVideo WinDVD 5&&(cpqdvd.dll) – Beenu Arora
Roxio Photosuite 9&&(homeutils9.dll) – Beenu Arora
Microsoft Vista BitLocker Drive Encryption (fveapi.dll) – Beenu Arora
VLC Media Player&&(wintab32.dll) – Secfence
uTorrent DLL Hijacking Vulnerabilities – Dr_IDE
TeamMate Audit Management Software Suite&&(mfc71enu.dll) – Beenu Arora
Microsoft Office Groove 2007&&(mso.dll) – Beenu Arora
Microsoft Address Book 6.00.&&(wab32res.dll) – Beenu Arora
Microsoft Visio 2003&&(mfc71enu.dll) – Beenu Arora
avast! &= 5.0.594 license files&&(mfc90loc.dll) – diwr
Adobe Photoshop CS2&&(Wintab32.dll) – sToRm
Adobe Dreamweaver CS5 &= 11.0 build 4909&&(mfc90loc.dll) – diwr
BS.Player &= 2.56 build 1043&&(mfc71loc.dll) – diwr
Adobe Dreamweaver CS4&&(ibfs32.dll) – Glafkos Charalamb.
TeamViewer &= 5.0.8703&&(dwmapi.dll) – Glafkos Charalamb.
Microsoft Windows 7 wab.exe&&(wab32res.dll) – TheLeader
Opera v10.61&&(dwmapi.dll) – Nicolas Krassas
Microsoft Windows Movie Maker &= 2.6.4038.0&&(hhctrl.ocx) -& &&&TheLeader
Firefox &= 3.6.8&&(dwmapi.dll) – Glafkos Charalamb.
Windows Live Email&&(dwmapi.dll) – Nicolas Krassas
Foxit Reader &= 4.0 pdf Jailbreak Exploit – Jose Miguel Espar.
uTorrent &= 2.0.3&&(plugin_dll.dll) – TheLeader
Microsoft Power Point 2010&&(pptimpconv.dll) – TheLeader
Wireshark &= 1.2.10&&(airpcap.dll) – TheLeader
Notepad++ (SciLexer.dll) – Drisky
Microsoft Power Point 2007 (pp4x322.dll) – monstream0
Microsoft Visio . (dwmapi.dll) – LiquidWorm
Microsoft Word 2007 (msapsspc.dll,schannel.dll, digest.dll, msnsspc.dll) – Secfence
Microsoft Powerpoint 2007 (pp7x32.dll, pp4x322.dll, msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) – Secfence
Tftpd32 version 3.35 (IPHLPAPI.DLL) – CCNA
Microsoft ATL Trace Tool Build 10.0.30319.1 atltracetool8.exe dwmapi extention .trc – 0xjudd
Windows Live! Messenger (Build =& 14.0.) msgsres.dll Hijacking – xsploited security
Active Perl v5.12.1 (wshenu.dll) – Xss mAn & germaya_x
CATIA V5 R17 (hzs_lm.dll) – T.W.
Autodesk AutoCAD 2007 (color.dll) – xsploited security
Cool Edit Pro 2.0 (coolburn.dll) – Mi4night
GOM Player 2.1.25.5015 (schannel.dll) – Mi4night
MAGIX Music Studio 12 deluxe (playripla6.dll) – Mi4night
Opera 10.61 (dwmapi.dll) – Mi4night
TeamViewer 5 (dwmapi.dll) – Mi4night
Windows Address Book (wab32res.dll) – Mi4night
Java Version 6 Update 21 (schannel.dll) – Mi4night
Windows Progman Group Converter (imm.dll) – Mi4night
NetStumbler 0.4.0 (mfc71enu.dll)
Windows Mail 6.0. (wab32res.dll) – Fishy Fish
TeamViewer (TV.dll) – germaya_x pc
Wireshark &= 1.2.10 (libintl-8.dll) – Infolookup
Microsoft Windows Media Encoder 9 .prx (msxml.dll) – Venom23
Notepad++ V5.4.5 Dll Hijack (SpellChecker.dll) – 41.w4r10r
Windows 7 and Vista Backup Utility .wbcat (fveapi.dll) – Christian Heinrich
Virtual DJ 6.1.2 .mp3 hdjapi.dll – Classity
Atheros Client Utility dll Hijacking exploit (oemres.dll) – germaya_x
Internet download manager dll Hijacking exploit (idmmkb.dll) – germaya_x
Forensic Toolkit .ftk (MFC90DEU.DLL) – m1k3
EnCase .endump (rsaenh.dll) – m1k3
IBM Rational License Key Administrator .upd (IBFS32.DLL) – m1k3
PGP Desktop 9.8 .pgp (credssp.dll) – m1k3
Forensic CaseNotes .notes (credssp.dll) – m1k3
Microsoft RDP .rdp (ieframe.dll) – 41.w4r10r
pdf x viewer .pdf (wintab32.dll) – g3k
Ultr@ VNC Viewer .vnc (vnclang.dll) – g3k
Babylon v8.0.0.18 .txt (besextension.dll) – DataIran Security
从我看到过的黑客网站上的内容，已知的漏洞软件不止上述这些。
b，退一步说，这个恶意DLL要利用这种漏洞的话，首先自己肯定被恶意软件进程所创建，否则不可能会有一个单独的DLL文件存在。那么，我认为既然已经存在恶意软件进程了，那么用这个被“二次利用漏洞”，又有什么意义？恶意软件进程都在活动当中了，反病毒软件没有检测到，此时保护已经完全失效，何必在意这种漏洞被利用呢？
DLL确实可以是某个进程创建，然后开始攻击。但是请斑竹大人注意，首次攻击可以不借助任何第三方进程即可完成攻击步骤，而持续的后续感染和攻击都可以用DLL自身来完成。斑竹大人如果对微软系统不慎了解的话，我可以提示一下，借助完成攻击的宿主进程可以是Rundll32.exe,Svchost.exe。此2程序为系统必备程序，并可以加载DLL实现无进程调用和服务调用，同时这2个进程中最后一个是绝对被所有杀软或者主防软件列入排除或者授信列表中的进程，其执行的系统账户为System（或者是Network等），拥有完全的系统控制权和网络访问权。另外，即使是首次攻击借助某个exe完成，也可以被黑客做免杀，而这个免杀程序启动可以不立刻执行攻击，采用特殊步骤后，真正攻击会在下次系统启动后借助系统进程完成攻击。这个技术方案我已经有了，恕我不能泄漏，细节就不谈了。
c，这个漏洞唯一被利用的可能就是我们所说的“死灰复燃”，也就是反病毒软件清除了恶意软件宿主，用户运行一个带有此个漏洞提到的缺乏载入DLL文件路径审查的应用程序，而且被这个应用程序读取的文档需要与恶意dll文件位于同一目录，需要有如下几个条件才能够触发问题。那么我们就要问了，恶意软件需要判断用户那些文件放在了哪些文件目录内，要不干脆全盘目录枚举，然后在每个目录里面放上一个恶意DLL？这样做真是写的极为糟糕的恶意软件，利用这种还不如直接感染文件来的方便。而且这种通过在一个文件夹内加一个DLL的方法最容易被用户发现。
斑竹大人忽略了U盘传播路径。一块已经感染的U盘下存有一个“某某门视频”文件，并存入一个带有系统、隐藏属性的dll劫持文件，如果用户使用的是VLC播放器，而且用户好奇地双击了这个视频文件，那么攻击可以借助VLC播放器完成。同理，攻击可以不借助VLC，可以借助常见的Firefox等其他软件完成。所以这里不需要什么枚举。
d，微软在漏洞描述时，使用了如下几个可能会时DLL被加载的地方，这些地方只有在企业网络中会存在，对于一般用户根本就不会碰到，比如“共享文件夹”与“”，这个一般用户都不会使用到，这些只有在企业局域网中才可能接触到，如果一台这类“共享服务器”或者“WebDAV”上存在这类问题，我认为企业的网络的管理者应该被开除，不是吗？
斑竹大人这里的回复似乎在说，对于企业的攻击是这个漏洞的主要目标，普通用户不用太担心。我想请问一下，企业用户面临的风险难道也不值得反病毒机构重视吗？因特尔收购麦咖啡，据说就是因为今年年初Google发现被极光攻击导致大量企业知识产权泄漏而倍受触动，加上首先发现极光行动的机构就是麦咖啡，所以从因特尔自身商业机密的安全性考虑，它决定不惜花大价钱收购麦咖啡杀毒，以提高自身的安全，同时进军对于商业公司来说及其重要的反病毒市场，这不失为一步一石二鸟的好旗。相信作为反病毒机构来说，绝对不会放弃商业公司的安全保护，毕竟这是正版收入来源的主要地方，采购一次可能获利数千万到数亿美金不等，而失去一次这样的客户可能造成等量的经济损失。对吧？
该用户从未签到
Wesly.Zhang
你我真不是一个星球的。
我早就说过，改dll不会被应用程序控制发现，改exe会被发现。为了躲避应用程序控制，不管多麻烦，写木马的就会选择改dll.
你说的“这个恶意DLL要利用这种漏洞的话，首先自己肯定被恶意软件进程所创建”本身就存在问题。
我已经在44楼说的非常非常非常清楚了。没想到你再次说出这样的论点。我希望你再仔细看一遍44楼。
我44楼的意思：
1。恶意dll未必要恶意软件进程创建。
2。即使恶意软件进程创建，hips也不能拦截。
至于你说：“最多盗号，自己保护自己的能力没有”。很雷人，看来以后盗号木马就不是木马了。
该用户从未签到
& & 膜拜了.
该用户从未签到
回复&&Wesly.Zhang
本来已经无意继续回复此帖，但是看到斑竹的发帖后，还是忍不住上来说一下。
峪飞鹰 发表于
尊敬的峪飞鹰，您好！
要查找这样的漏洞并不复杂，使用微软的ProcessMonitor就可以完成对一款软件的漏洞检查了。方法是：生成一个该软件关联的扩展名文档文件，将其放置在一个空目录中，打开ProcessMonitor，设置Filter过滤目标exe文件，双击扩展名文档，然后观察记录。里面会记录下多条 FILE NOT FOUND记录，每条记录会给出一个路径和文件名，如果发现是dll的文件名，并且路径是扩展名文档所在路径（抑或是扩展名文档所在路径下的子路径），则表明找到劫持漏洞了。接下来的工作可以对目标DLL进行调试器检测，查找函数入口点和对应的压栈规则，分析出函数参数（一般DLL的导出函数都有函数名，如果遇到无函数名的函数，可尝试在调试器内拦截LoadLibrary后分析其调用参数来获得函数序号）。当然，这个步骤是老鸟做的。其实留意一下上次 icon的泄漏就会发现，LoadLibrary加载DLL后会首先调用DLLMain函数，其实这里也可以作为攻击代码执行的部位，所以分析DLL中的函数来伪装就并不是必须的步骤。如果DLL被目标exe加载后，LoadLibrary完成后，尝试GetProcAddress返回不了查找的函数入口指针，应用程序可能会崩溃（一般不会，除非哪个白痴菜鸟根本不检测GetProcAddress的返回值），即使不崩溃也可能有错误提醒。黑客如果要攻击可以多次尝试。
您的此番话一开始就存在了问题，微软已经有修补程序修补了问题，这个问题已经被解决。修补程序规定了加载DLL文件的位置，哪些存在这方面问题的应用程序已经不存在问题，或者在启动时会出现问题，软件厂商会进行修补。这个所谓的漏洞并不重要，因为程序员在代码内制定全路径可能会在多操作系统的计算机内造成问题。这就是为什么像我一样，从来没有在代码内指定过全路径，都是靠操作系统自己去找DLL加载的一个原因。我现在也不会改我单位里面的ERP系统了，改了烦。微软的修补程序已经锁定了DLL的加载范围，所以这个漏洞已经被修复，第三方软件如何没有能够符合这个补丁规定的加载位置，则需要自己重新规定自己DLL文件的存放位置即可。不要夸张这个漏洞存在的威胁，因为微软已经动作了，所以操作系统层面已经不会有问题，第三方软件厂商的程序也收到了一定的保护。
DLL确实可以是某个进程创建，然后开始攻击。但是请斑竹大人注意，首次攻击可以不借助任何第三方进程即可完成攻击步骤，而持续的后续感染和攻击都可以用 DLL自身来完成。斑竹大人如果对微软系统不慎了解的话，我可以提示一下，借助完成攻击的宿主进程可以是 Rundll32.exe,Svchost.exe。此2程序为系统必备程序，并可以加载DLL实现无进程调用和服务调用，同时这2个进程中最后一个是绝对被所有杀软或者主防软件列入排除或者授信列表中的进程，其执行的系统账户为System（或者是Network等），拥有完全的系统控制权和网络访问权。另外，即使是首次攻击借助某个exe完成，也可以被黑客做免杀，而这个免杀程序启动可以不立刻执行攻击，采用特殊步骤后，真正攻击会在下次系统启动后借助系统进程完成攻击。这个技术方案我已经有了，恕我不能泄漏，细节就不谈了。
请不用怀疑我对微软操作系统的理解，我还理解Linux，我本身就是一个程序员。那么我想问：由谁来启动Rundll32.exe,Svchost.exe来加载DLL文件呢？不会DLL自己来吧？DLL总是需要被什么加载或者被加载的，加载的始终是进程。如果想要启动DLL，可以通过修改注册表的方法来实现，那么追根溯源，又是谁修改的注册表来注册这个恶意DLL的呢？我认为恶意DLL的加载，从本次微软的漏洞来说，通过微软的修补程序修补后已经解决了问题，一些不符合规范的程序的运行已经受到了影响与限制，所以此问题已经被遏制，此问题已经失去被利用的意义。
斑竹大人忽略了U盘传播路径。一块已经感染的U盘下存有一个“某某门视频”文件，并存入一个带有系统、隐藏属性的dll劫持文件，如果用户使用的是VLC 播放器，而且用户好奇地双击了这个视频文件，那么攻击可以借助VLC播放器完成。同理，攻击可以不借助VLC，可以借助常见的Firefox等其他软件完成。所以这里不需要什么枚举。
此问题已经被微软做了一定的处理，对加载已经对了一定的限制。其实这个问题是出在了操作系统层面，并非软件厂商。打死我也不会在代码里面写全路径，遇到双系统的就会悲剧。
斑竹大人这里的回复似乎在说，对于企业的攻击是这个漏洞的主要目标，普通用户不用太担心。我想请问一下，企业用户面临的风险难道也不值得反病毒机构重视吗？因特尔收购麦咖啡，据说就是因为今年年初Google发现被极光攻击导致大量企业知识产权泄漏而倍受触动，加上首先发现极光行动的机构就是麦咖啡，所以从因特尔自身商业机密的安全性考虑，它决定不惜花大价钱收购麦咖啡杀毒，以提高自身的安全，同时进军对于商业公司来说及其重要的反病毒市场，这不失为一步一石二鸟的好旗。相信作为反病毒机构来说，绝对不会放弃商业公司的安全保护，毕竟这是正版收入来源的主要地方，采购一次可能获利数千万到数亿美金不等，而失去一次这样的客户可能造成等量的经济损失。对吧？
你是在个人版讨论个人版产品，企业的网络管理员如果不检查自己共享文件夹内存在的异常并作出处理，不是失职是什么呢？不要将计算机安全被无限的夸大，我认为Intel的那个行为是一个商业行为，没有你说的这么高度。公司要涉足不同的领域，一就是靠收购，比如想微软涉足安全领域一样，收购了诸多的小型安全软件厂商；二是靠购买技术，如奇虎360与可牛杀毒；三就是技术合作，如F-Secure等。
该用户从未签到
回复&&Wesly.Zhang
你我真不是一个星球的。
我早就说过，改dll不会被应用程序控制发现，改exe会被发现。 ...
<font color="#2586971 发表于
尊敬的，您好！
有时候把你们两个的问题统一起来说很费劲。ID：峪飞鹰 说的是关于微软的那个DLL漏洞的问题，你说的是一个正常的DLL被感染然后被一个受信任的程序加载运行的问题。
我现在对于你这个“一个正常的DLL被感染然后被一个受信任的程序加载运行的问题”。
1，卡巴斯基应用程序控制是不会去审查这个DLL有没有问题，审查这个DLL是否是恶意的，归文件反病毒及启发式管；
2，一旦一个恶意DLL已经产生（已经覆盖的原DLL文件），如果卡巴斯基没有反映的话，说明释放这个DLL的恶意软件进程曾经出现过，那么默认这个进程会被划到 低限制组，进行限制运行。
3，“即使恶意软件进程创建，hips也不能拦截”，这句话不完整，如果一个被入库的程序启动时被文件反病毒检测到的话，那么HIPS会直接将它划分到不信任组，什么也不会被创建，而是被直接删除了，你这句话只说对了一半而已。一个没有入库的威胁，卡巴斯基应用程序当然不会限制它创建恶意DLL。
4，“恶意dll未必要恶意软件进程创建”，你可能不了解操作系统吧？系统会自己蹦出一个恶意DLL吗？恶意DLL当然会从恶意软件中产生。你说的那些破解软件，如果这些破解软件有包含这个恶意DLL，你说这些破解软件不是恶意软件？那我真的很雷。 ，只要包含这类恶意DLL的就都是恶意软件，这个无庸置疑，无论那个是什么软件的安装包或者破解软件等等。
该用户从未签到
Wesly.Zhang
尊敬的斑竹大人，您好！
您的此番话一开始就存在了问题，微软已经有修补程序修补了问题，这个问题已经被解决。修补程序规定了加载DLL文件的位置，哪些存在这方面问题的应用程序已经不存在问题，或者在启动时会出现问题，软件厂商会进行修补。这个所谓的漏洞并不重要，因为程序员在代码内制定全路径可能会在多操作系统的计算机内造成问题。这就是为什么像我一样，从来没有在代码内指定过全路径，都是靠操作系统自己去找DLL加载的一个原因。我现在也不会改我单位里面的ERP系统了，改了烦。微软的修补程序已经锁定了DLL的加载范围，所以这个漏洞已经被修复，第三方软件如何没有能够符合这个补丁规定的加载位置，则需要自己重新规定自己DLL文件的存放位置即可。不要夸张这个漏洞存在的威胁，因为微软已经动作了，所以操作系统层面已经不会有问题，第三方软件厂商的程序也收到了一定的保护。
您的话是对的，微软已经有动作了。微软提供的是Fix It程序，其实不是真正意义上的最终补丁包，但是这个补救依然是有效的。并且微软可能在下一个补丁日发布对应的补丁程序修补这个问题，到时应该是完整的修复。如果我理解的没错的话，微软的补丁是把Current Dir排到搜索路径的最后。但是请别忘记微软在安全公告中给出的MSDN建议地址，那里面确实建议第三方软件使用全路径来载入DLL。因为现在的攻击都是复杂的、多技术混合使用的。依然采用相对路径载入dll会存在风险，至于风险被利用的几率以及在完成复杂攻击的动作中可扮演的角色的重要性是不同的。如果您一直认为我夸大了这个漏洞的危险性，好吧，我也不想继续争论下去了，所以那我就同意您的观点，这个威胁很小，很小，很小，很小。
请不用怀疑我对微软操作系统的理解，我还理解Linux，我本身就是一个程序员。那么我想问：由谁来启动Rundll32.exe,Svchost.exe来加载DLL文件呢？不会DLL自己来吧？DLL总是需要被什么加载或者被加载的，加载的始终是进程。如果想要启动DLL，可以通过修改注册表的方法来实现，那么追根溯源，又是谁修改的注册表来注册这个恶意DLL的呢？我认为恶意DLL的加载，从本次微软的漏洞来说，通过微软的修补程序修补后已经解决了问题，一些不符合规范的程序的运行已经受到了影响与限制，所以此问题已经被遏制，此问题已经失去被利用的意义。
我绝对没有怀疑您的技术水平，相信您绝对比我这业余人士要厉害百倍。只是我觉得如果咱们的观点有分歧，咱们还是需要将出来沟通嘛，也算是让我这菜鸟多从您的回复中学得更多知识。所以我在这里要对您的每次回应表示衷心的感谢！谢谢您的指教！
至于您提到的rundll32.exe和svchost.exe是谁来调用的呢？您可以看看68楼对您c段落的回复中找到点蛛丝马迹。假设VLC调用了劫持dll，此刻dll的DLLMain函数执行，那么这个函数内的代码是有VLC的全部权限对吧？此刻VLC有什么权限呢？写注册表没问题吧，写自身目录下的dll没问题吧？咱跳一步，U盘下的dll复制自身到VLC目录下，改VLC目录下的xxx.dll为yyy.dll，然后将自身（或者衍生的另外一个符合xxx.dll导出表的dll)拷贝到VLC目录中，并命名为xxx.dll。那么VLC应该就被感染了吧？下次启动VLC加载的这个虚假的xxx.dll行为不受控制吧？或者咱也不用这么复杂，直接在U盘的DLL被加载的时候，使用CreateRemoteThread来注入个dll到Explorer.exe里面也行吧？然后explorer.exe直接写个service到svchost里面可以吧？再搞点驱动加载也没问题吧？再由驱动操作下....我不想继续假设了。好吧，这里说这么多技术细节其实如您所说，已经没有意义了，微软修复了漏洞。OK，您当我在这里没事侃大山就行了。这段您无视吧。
此问题已经被微软做了一定的处理，对加载已经对了一定的限制。其实这个问题是出在了操作系统层面，并非软件厂商。打死我也不会在代码里面写全路径，遇到双系统的就会悲剧。
GetModuleFileName可获得进程全路径+文件名，字符串处理一下，去掉exe文件名，再+上相对路径调用LoadLibrary也并不复杂。
你是在个人版讨论个人版产品，企业的网络管理员如果不检查自己共享文件夹内存在的异常并作出处理，不是失职是什么呢？不要将计算机安全被无限的夸大，我认为Intel的那个行为是一个商业行为，没有你说的这么高度。公司要涉足不同的领域，一就是靠收购，比如想微软涉足安全领域一样，收购了诸多的小型安全软件厂商；二是靠购买技术，如奇虎360与可牛杀毒；三就是技术合作，如F-Secure等。
您说的没错，这样的失职人员太可恶了，导致企业受到攻击风险。不过，我觉得从您的回复中我找到了我的目标，就是努力成为能在这个岗位上工作并绝不失职的人，那样估计会给公司剩下数千万到数亿的安全软件采购经费，如果经理开心的话，愿意分1/10作为我的奖金，那我真是晚上睡着后要在梦里笑醒了！
那段Intel的收购信息也是传闻，没法证实。您说我夸大了，那就算我夸大了吧。向您和所有网友道歉了。
该用户从未签到
本帖最后由
12:06 编辑
尊敬的，您好！
4，“恶意dll未必要恶意软件进程创建”，你可能不了解操作系统吧？系统会自己蹦出一个恶意DLL吗？
Wesly.Zhang 发表于
很显然，，“恶意dll未必要恶意软件进程创建”，这点毫无疑问。
你如果这点都不同意的话，我也没办法。任何文件都是由操作系统里的进程创建。但是，创建恶意dll的进程未必是恶意进程。
我从网上下载一个免安装的软件的压缩包（什么是免安装的软件？就是解压后点主程序直接可以使用的软件），这个压缩包里有一个恶意的dll.
我把这个dll也解压到电脑，你并不能说出这个dll是哪个恶意软件进程创建的。
你说的那些破解软件，如果这些破解软件有包含这个恶意DLL，你说这些破解软件不是恶意软件？那我真的很雷
很显然，你偷换了概念，你之前说的是“恶意dll必由恶意软件进程创建”，我反驳你，你现在又改口说恶意软件。恶意软件进程和恶意软件是两码事。我只是在证明恶意dll未必由恶意软件进程创建，这点毫无疑问. 再说我从来没跟你讨论“如果破解软件中有恶意dll，那么这个软件是不是恶意软件”这种问题。
至于我说的：“即使恶意dll由恶意软件进程创建，hips也拦不住”。抱歉，打字的时候心急，漏了“可能”。
------------------------------------------------------------------------------------------------
说到底，我想说明什么呢，即：由于KIS校验数字签名自动添加信任这种机制，所以它的防御是有缺口的。这是我的看法。
至于讨论的是微软的还是其他软件的漏洞，不管是通过文件打开关联，还是直接执行exe程序，我认为，所有的dll劫持，原理上都是一回事，没有任何区别。只是微软的好修补，其他的不好修补而已。而且即使指定了路径，但是软件目录下的dll被替换了，还是没用
-----------------------------------------------------------------------------------
好了，本帖我也不再回复。本人不敢说自己是程序员，只是大二学过一点皮毛。不能保证每句话的正确性。如果哪里说错了，敬请各位批斗。
该用户从未签到
这个问题有点难。
TA的每日心情慵懒 20:16签到天数: 1 天[LV.1]初来乍到
金山防，卡巴就不能防么
本帖子中包含更多资源
才可以下载或查看，没有帐号？ &
该用户从未签到
楼上有来搞宣传之嫌，别把这帖子搞变味了啊！楼上自主删掉这个吧。
该用户从未签到
很显然，，“恶意dll未必要恶意软件进程创建”，这点毫无疑问。
你如果这点都不同意的话，我也没办法。任 ...
<font color="#2586971 发表于
尊敬的，您好！
1，恶意软件是一个统称，恶意软件的进程是属于恶意软件。只是一个对象的不同的广度的表达方式，我采用这个说法是为了强调这个。
2，压缩包是文档，不是可执行文件，您需要使用解压缩软件将压缩包内的文件解压才能够有机会访问解压缩出来的恶意DLL。解压缩过程并非创建恶意DLL，而是将已经存在的恶意DLL文件解压缩出来。这个并非是你说的一个合法软件也能够创建恶意DLL，而是将以存在的文档中的恶意DLL文件解压缩出来。你不会说压缩包管理软件创建了一个恶意DLL文件，如果是这样，那么压缩包管理软件不就成了恶意软件？ 自解压缩文件可是文档，但，是一个可执行体。如果是可执行体内包含一个恶意DLL文件的话，则该自解压缩的文档就是恶意的，其进程也是在做恶意创建的行为且不受用户的控制，它可以在自解压缩完成后里面执行所解压缩的可执行文件同时加载这个DLL文件。
我的理解是恶意DLL都是有恶意软件的进程来创建的，干净的DLL都是由一般进程创建的，我想这个很通俗，很容易理解。}