DLL اغوا کرنے کے لئے خطرناک حملہ، روک تھام اور پتہ لگانے

ڈی ایل ایل متحرک لنک لائبریریوں کے لئے کھڑا ہے اور ایپلی کیشنز کے بیرونی حصے ہیں جو ونڈوز یا کسی دوسرے آپریٹنگ سسٹم پر چلتے ہیں. زیادہ تر اطلاقات خود میں مکمل نہیں ہیں اور مختلف فائلوں میں کوڈ ذخیرہ کرتے ہیں. اگر کوڈ کی ضرورت ہو تو، متعلقہ فائل میموری میں بھری ہوئی ہے اور استعمال کیا جاتا ہے. رام کے استعمال کو بہتر بنانے کے دوران یہ درخواست فائل کا سائز کم ہوجاتا ہے. یہ مضمون بیان کرتا ہے کہ DLL ہجیکنگ اور اس کا پتہ لگانے اور اسے روکنے کے لئے کس طرح.

DLL فائلوں یا متحرک لنک لائبریریوں کی فہرست

DLL فائلیں متحرک لنک لائبریری ہیں اور اس کے نام سے واضح ہیں. مختلف ایپلی کیشنز کی. ہم کسی بھی درخواست کا استعمال کرتے ہیں یا کچھ مخصوص کوڈ استعمال نہیں کر سکتے ہیں. اس کوڈ کو مختلف فائلوں میں ذخیرہ کیا جاتا ہے اور متعلقہ کوڈ کی ضرورت ہوتی ہے صرف رام میں منسلک یا بھری ہوئی ہیں. اس طرح، یہ درخواست کی فائل بہت بڑی بنتی ہے اور درخواست کے ذریعہ ہنگنگ کو روکنے سے روکنے کے لئے درخواست کرتا ہے.

DLL فائلوں کا راستہ ونڈوز آپریٹنگ سسٹم کی طرف سے مقرر کیا جاتا ہے. راستے گلوبل ماحولیاتی متغیرات کا استعمال کرتے ہوئے مقرر کیا جاتا ہے. پہلے سے طے شدہ طور پر، اگر کوئی درخواست کسی DLL فائل کی درخواست کرتا ہے، تو آپریٹنگ سسٹم اسی فولڈر میں ہوتا ہے جس میں درخواست محفوظ ہے. اگر یہ وہاں نہیں ملتا ہے، تو یہ دوسرے فولڈرز کے طور پر عالمی متغیر کی طرف سے سیٹ جاتا ہے. راستے سے منسلک ترجیحات موجود ہیں اور یہ ونڈوز میں DLLs کو تلاش کرنے کے لئے کس فولڈر کو تعین کرنے میں مدد کرتا ہے. یہ کہاں ہے DLL ہجیکنگ میں آتا ہے.

DLL ہجیکنگ کیا ہے

کیونکہ آپ کی مشینوں پر تقریبا تمام ایپلی کیشنز کا استعمال کرنے کے لئے ڈی ایل ایل توسیع اور ضروری ہے، وہ کمپیوٹر پر مختلف فولڈرز میں وضاحت کے طور پر موجود ہیں. اگر اصل DLL فائل غیر فعال کوڈ پر مشتمل جعلی DLL فائل کے ساتھ تبدیل کر دیا جاتا ہے، تو اسے DLL ہجیکنگ.

کے طور پر جانا جاتا ہے. جیسا کہ پہلے ذکر کیا گیا ہے، اس طرح کی ترجیحات موجود ہیں کہ آپریٹنگ سسٹم DLL فائلوں کے لئے کہاں ہے. سب سے پہلے، یہ آپریٹنگ سسٹم کے ماحولیاتی متغیر کی طرف سے مقرر کی ترجیحات کی بنیاد پر، درخواست فولڈر کے طور پر ایک ہی فولڈر میں لگ رہا ہے اور پھر تلاش جاتا ہے. اس طرح اگر ایک good.dll فائل SysWOW64 فولڈر میں ہے اور کسی کو خراب.dll میں ایک فولڈر میں رکھتا ہے جو SysWOW64 فولڈر کے مقابلے میں اعلی ترجیح ہے، آپریٹنگ سسٹم bad.dll فائل کا استعمال کرے گا، جیسا کہ اس کے DLL کے طور پر ایک ہی نام ہے درخواست کے ذریعہ درخواست کی. رام میں ایک بار، یہ فائل میں موجود بدسلوکی کوڈ پر عملدرآمد کر سکتا ہے اور آپ کے کمپیوٹر یا نیٹ ورکوں کو سمجھنا ممکن ہے.

DLL Hijacking کا پتہ لگانے کے لئے کس طرح

DLL ہجیکنگ کا پتہ لگانے اور روکنے کے لئے سب سے آسان طریقہ تیسری پارٹی کے اوزار کا استعمال کرنا ہے. مارکیٹ میں دستیاب کچھ اچھے مفت آلات موجود ہیں جو ڈی ڈی ایل ہیک کو تلاش کرنے میں مدد ملتی ہے اور اسے روکنے میں مدد ملتی ہے.

اس طرح کے ایک پروگرام DLL ہجیک آڈیٹر ہے لیکن یہ صرف 32 بٹ ایپلی کیشنز کی حمایت کرتا ہے. آپ اسے اپنے کمپیوٹر پر انسٹال کر سکتے ہیں اور اپنے تمام ونڈوز ایپلی کیشنز کو اسکین کرنے کے لئے اسکین کرسکتے ہیں کہ تمام ایپلی کیشنز کو DLL ہجیک کے لئے خطرناک ہے. انٹرفیس سادہ اور خود کی وضاحت ہے. اس ایپلی کیشنز کا صرف ایک خرابی یہ ہے کہ آپ 64 بٹ ایپلی کیشنز کو اسکین نہیں کرسکتے ہیں.

ایک اور پروگرام، DLL ہجیکنگ کا پتہ لگانے کے لئے، DLL_HIJACK_DETECT، GitHub کے ذریعہ دستیاب ہے. یہ پروگرام ایپلی کیشنز کو چیک کرنے کے لئے چیک کرتا ہے کہ ان میں سے کسی کو DLL ہجیک کرنے کے لئے خطرناک ہے. اگر یہ ہے تو، پروگرام صارف کو مطلع کرتا ہے. ایپلی کیشن میں دو ورژن - x86 اور x64 ہے تاکہ آپ 32 بٹ اور 64 بٹ کے دونوں اطلاقات کو بالترتیب طور پر اسکین کرنے کے لۓ استعمال کرسکیں.

یہ یاد رکھنا چاہئے کہ مندرجہ ذیل پروگرامز صرف ونڈوز پلیٹ فارم پر خطرات کے لۓ ایپلی کیشنز کو اسکین کرتی ہیں اور اصل میں نہیں DLL فائلوں کے ہجیکنگ کو روکنے کے لئے.

DLL ہجیکنگ سے بچنے کے لئے کس طرح

مسئلہ پہلے پروگرام میں پروگرامرز کی طرف سے نمٹنے کے لئے ضروری ہے کیونکہ آپ کو آپ کے سیکورٹی کے نظام کو بفائے جانے کے علاوہ زیادہ نہیں ہے. اگر، ایک رشتہ داری کے بجائے، پروگرامرز مطلق راستہ کا استعمال کرتے ہوئے شروع کرتے ہیں، خطرے میں کمی کو کم کیا جائے گا. مطلق راستہ پڑھنا، ونڈوز یا کسی دوسرے آپریٹنگ سسٹم کو راستے کے لئے سسٹم متغیرات پر منحصر نہیں ہوگا اور براہ راست مطلوبہ ڈی ایل ایل کے لئے جائیں گے، اس طرح ڈی جی ایل ڈی کو اعلی ترجیحی راہ میں لوڈ کرنے کے امکانات کو مسترد کر دیں گے. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اس فائل کو لکھا جائے گا تاکہ اصل DLL بدسلوکی کوڈ میں تبدیل ہوجائے. لیکن پھر، cybercriminal درخواست کے مطابق بیان کردہ درست مطمئن راستہ کو جاننے کی ضرورت ہوگی جسے DLL کے لئے کال کرتا ہے. یہ عمل cybercriminals کے لئے مشکل ہے اور اس وجہ سے شمار کیا جا سکتا ہے.

آپ جو کچھ کرسکتے ہیں واپس آتے ہیں، اپنے ونڈوز کے نظام کو بہتر بنانے کے لۓ اپنے سیکورٹی کے نظام کو بڑھانے کی کوشش کریں. ایک اچھا فائر وال کا استعمال کریں. اگر ممکن ہو تو، ہارڈویئر فائبر وال کا استعمال کریں یا روٹر فائر وال کو تبدیل کریں. اچھا گھسنا پتہ لگانے کے نظام کا استعمال کریں تاکہ آپ جانتے ہیں کہ اگر کوئی آپ کے کمپیوٹر کے ساتھ کھیلنے کی کوشش کر رہا ہے.

اگر آپ کو دشواری کا پتہ لگانے کے کمپیوٹر میں ہے تو، آپ اپنی سلامتی کو مندرجہ ذیل انجام بھی دے سکتے ہیں:

1. ریموٹ نیٹ ورک کے حصص سے DLL لوڈنگ کو غیر فعال کریں
2. WebDAV سے لوڈ کریں DLL فائلوں کو لوڈ کرنے سے غیر فعال کریں
3. ویب کلائنٹ سروس کو مکمل طور پر غیر فعال یا اسے دستی طور پر مقرر کریں
4. ٹی سی پی بندرگاہوں 445 اور 139 کو بلاک کریں کیونکہ وہ مواصلاتی کمپیوٹرز کے لئے سب سے زیادہ استعمال کیا جاتا ہے
5. آپریٹنگ میں تازہ ترین اپ ڈیٹس انسٹال کریں سسٹم اور سیکیورٹی سافٹ ویئر.

مائیکروسافٹ نے ڈی ایل ایل لوڈ کے اغوا کے حملوں کو روکنے کے لئے ایک آلہ جاری کیا ہے. اس آلہ کو DLL فائلوں سے غیر محفوظ طور پر لوڈنگ کوڈ سے غیر فعال طور پر لوڈنگ کوڈ سے روکنے کے لئے ڈی ایل ایل کے حملوں کے خطرے کو کم کر دیتا ہے.

اگر آپ آرٹیکل میں کچھ بھی شامل کرنا چاہتے ہیں، تو ذیل میں تبصرہ کریں.