Kodeindsprøjtning er almindelig på Windows. Applikationer "indsprøjter" stykker af deres egen kode i en anden kørende proces for at ændre dens adfærd. Denne teknik kan bruges til godt eller ondt, men på begge måder kan det forårsage problemer.
Kodeinjektion kaldes også almindeligt DLL-injektion, fordi den injicerede kode ofte er i form af en DLL-fil (dynamisk linkbibliotek) . Imidlertid kan applikationer også indsprøjte andre typer kode, der ikke er DLL'er, i en proces.
Hvad kodeindsprøjtning bruges til
Kodeindsprøjtning bruges til at udføre alle mulige tricks og funktionalitet på Windows. Mens legitime programmer bruger det, bruges det også af malware. For eksempel:
- Antivirusprogrammer indsprøjter ofte kode i webbrowsere. De kan f.eks. Bruge den til at overvåge netværkstrafik og blokere farligt webindhold.
- Ondsindede programmer kan tilføje kode til din webbrowser for bedre at spore din browsing, stjæle beskyttede oplysninger som adgangskoder og kreditkortnumre og ændre dine browserindstillinger.
- Stardocks WindowBlinds, som temaer dit skrivebord, indsætter kode i ændre, hvordan vinduer tegnes .
- Stardock's Fences injicerer kode til ændre den måde, Windows-skrivebordet fungerer på .
- AutoHotkey, som lader dig oprette scripts og tildele system-genvejstaster til dem , indsætter kode for at opnå dette.
- Grafikdriver er som NVIDIAs indsprøjter DLL'er til at udføre en række grafikrelaterede opgaver.
- Nogle programmer indsprøjter DLL'er for at tilføje yderligere menupunkter til et program.
- PC-snydeværktøjer injicerer ofte kode i spil for at ændre deres adfærd og få en uretfærdig fordel i forhold til andre spillere.
Er kodeinjektion dårlig?
Denne teknik bruges konstant af en lang række applikationer på Windows. Det er den eneste rigtige måde at udføre en række opgaver på. Sammenlignet med en moderne mobilplatform som Apples iOS eller Googles Android er Windows-skrivebordet så kraftigt, for hvis det giver denne form for fleksibilitet til udviklere.
Selvfølgelig kommer al fare med en vis fare. Kodeindsprøjtning kan forårsage problemer og fejl i applikationer. Google siger, at Windows-brugere, der har kode indsprøjtet i deres Chrome-browser, er 15% mere tilbøjelige til at opleve Chrome-nedbrud, hvorfor Google arbejder på at blokere dette. Microsoft bemærker, at kodeinjektion kan bruges af ondsindede applikationer til at manipulere med browserindstillinger, hvilket er en af grundene til, at det allerede er blokeret i Edge.
Microsoft-begivenhed giver instruktioner til at kontrollere, om tredjeparts-DLL'er er indlæst i Microsoft Outlook, da de forårsager så mange Outlook-nedbrud.
Som en Microsoft-medarbejder satte det i en udviklerblog fra 2004:
DLL-injektion er aldrig sikkert. Du taler om at sprøjte kode i en proces, der aldrig blev designet, bygget eller testet af procesens forfatter, og at samvalge eller oprette en tråd til at køre denne kode. Du risikerer at skabe timing, synkronisering eller ressourceproblemer, der ikke var der før, eller forværre problemer, der var der.
Med andre ord er kodeinjektion en slags beskidt hack. I en ideel verden ville der være en sikrere måde at opnå dette på, der ikke forårsagede potentiel ustabilitet. Kodeindsprøjtning er dog kun en normal del af Windows-applikationsplatformen i dag. Det sker konstant i baggrunden på din Windows-pc. Du kan måske kalde det et nødvendigt onde.
Sådan kontrolleres der for injicerede DLL'er
Du kan tjekke for kodeinjektion på dit system med Microsofts kraftfulde Process Explorer Ansøgning. Det er dybest set en avanceret version af Task Manager fyldt med yderligere funktioner.
Download og kør Process Explorer, hvis du vil gøre dette. Klik på Vis> Nedre rudevisning> DLL'er, eller tryk på Ctrl + D.
Vælg en proces i den øverste rude, og se i den nederste rude for at se de DLL'er, der er indlæst. Kolonnen "Firmanavn" er en nyttig måde at filtrere denne liste på.
For eksempel er det normalt at se en række DLL'er lavet af "Microsoft Corporation" her, da de er en del af Windows. Det er også normalt at se DLL'er oprettet af samme firma som den pågældende proces - "Google Inc." i tilfælde af Chrome i skærmbilledet nedenfor.
Vi kan også få øje på et par DLL'er lavet af "AVAST Software" her. Dette indikerer, at Avast antimalware-softwaren på vores system indsprøjter kode som "Avast Script Blocking filterbiblioteket" i Chrome.
Der er ikke meget, du kan gøre, hvis du finder kodeinjektion på dit system - bortset fra at afinstallere programmet, der injicerer kode, for at forhindre, at det forårsager problemer. For eksempel, hvis Chrome går ned regelmæssigt, vil du muligvis se, om der er nogen programmer, der injicerer kode i Chrome og afinstallerer dem for at forhindre dem i at manipulere med Chromes processer.
Hvordan fungerer kodeinjektion?
Kodeinjektion ændrer ikke det underliggende program på din disk. I stedet venter den på, at applikationen kører, og den injicerer yderligere kode i den kørende proces for at ændre, hvordan den fungerer.
Windows indeholder en række applikationsprogrammeringsgrænseflader (API'er) der kan bruges til kodeinjektion. En proces kan knytte sig til en målproces, tildele hukommelse, skrive en DLL eller anden kode til den hukommelse og derefter instruere målprocessen om at udføre koden. Windows forhindrer ikke processer på din computer i at forstyrre hinanden sådan.
For mere teknisk information, se dette blogindlæg, der forklarer hvordan udviklere kan indsprøjte DLL'er og dette kig på andre typer kodeindsprøjtning på Windows .
I nogle tilfælde kan nogen ændre den underliggende kode på disken - for eksempel ved at erstatte en DLL-fil, der følger med et pc-spil med en modificeret for at muliggøre snyd eller piratkopiering. Dette er teknisk set ikke "kodeinjektion." Koden indsprøjtes ikke i en kørende proces, men programmet bliver i stedet narret til at indlæse en anden DLL med samme navn.
Billedkredit: Lukatme /Shutterstock.com.
