Kodeinjeksjon er vanlig på Windows. Applikasjoner "injiserer" deler av sin egen kode i en annen kjørende prosess for å endre oppførselen. Denne teknikken kan brukes på godt og ondt, men uansett kan den forårsake problemer.
Kodeinjeksjon kalles også ofte DLL-injeksjon fordi den injiserte koden ofte er i form av en DLL (dynamisk koblingsbibliotek) -fil . Imidlertid kan applikasjoner også injisere andre typer kode som ikke er DLLer, i en prosess.
Hva kodeinjeksjon brukes til
Kodeinjeksjon brukes til å utføre alle slags triks og funksjonalitet på Windows. Selv om legitime programmer bruker den, brukes den også av skadelig programvare. For eksempel:
- Antivirusprogrammer injiserer ofte kode i nettlesere. De kan for eksempel bruke den til å overvåke nettverkstrafikk og blokkere farlig innhold på nettet.
- Ondsinnede programmer kan legge til kode i nettleseren din for bedre å spore surfing, stjele beskyttet informasjon som passord og kredittkortnumre, og endre nettleserinnstillingene.
- Stardocks WindowBlinds, som temaer skrivebordet ditt, injiserer kode til endre hvordan vinduer tegnes .
- Stardock’s Fences injiserer kode til endre måten Windows-skrivebordet fungerer på .
- AutoHotkey, som lar deg lage skript og tilordne systemtaster for dem , injiserer kode for å oppnå dette.
- Grafikkdrivere som NVIDIA injiserer DLLer for å utføre en rekke grafikkrelaterte oppgaver.
- Noen programmer injiserer DLLer for å legge til flere menyalternativer i et program.
- PC-jukseverktøy injiserer ofte kode i spill for å endre oppførselen og få en urettferdig fordel over andre spillere.
Er kodeinjeksjon dårlig?
Denne teknikken brukes konstant av et bredt utvalg av applikasjoner på Windows. Det er den eneste virkelige måten å utføre en rekke oppgaver på. Sammenlignet med en moderne mobilplattform som Apples iOS eller Googles Android, er Windows-skrivebordet så kraftig fordi hvis tilby denne typen fleksibilitet til utviklere.
Selvfølgelig, med all den kraften kommer en viss fare. Kodeinjeksjon kan forårsake problemer og feil i applikasjoner. Google sier at Windows-brukere som har kode som er injisert i Chrome-nettleseren, har 15% større sannsynlighet for å oppleve Chrome-krasjer, og det er derfor Google jobber med å blokkere dette. Microsoft bemerker at kodeinjeksjon kan brukes av ondsinnede applikasjoner for å tukle med nettleserinnstillingene, noe som er en av grunnene til at den allerede er blokkert i Edge.
Microsoft-arrangement gir bruksanvisning for å sjekke om tredjeparts DLLer er lastet inn i Microsoft Outlook, ettersom de forårsaker så mange Outlook-krasjer.
Som en Microsoft-ansatt uttrykte det i en utviklerblogg fra 2004:
DLL-injeksjon er aldri trygt. Du snakker om å sprøyte kode i en prosess som aldri ble designet, bygget eller testet av prosessforfatteren, og å kooptere eller lage en tråd for å kjøre den koden. Du risikerer å lage problemer med timing, synkronisering eller ressurser som ikke var der før eller forverret problemer som var der.
Med andre ord, kodeinjeksjon er litt av en skitten hack. I en ideell verden ville det være en tryggere måte å oppnå dette på som ikke forårsaket potensiell ustabilitet. Imidlertid er kodeinjeksjon bare en vanlig del av Windows-applikasjonsplattformen i dag. Det skjer stadig i bakgrunnen på Windows-PCen din. Du kan kalle det et nødvendig onde.
Hvordan sjekke for injiserte DLL-filer
Du kan se etter kodeinjeksjon på systemet ditt med Microsofts kraftige Prosessutforsker applikasjon. Det er i utgangspunktet en avansert versjon av Oppgavebehandling fullpakket med tilleggsfunksjoner.
Last ned og kjør Process Explorer hvis du vil gjøre dette. Klikk på Vis> Nedre rutevisning> DLLer eller trykk Ctrl + D.
Velg en prosess i den øverste ruten, og se i den nedre ruten for å se DLL-ene som er lastet inn. Kolonnen "Firmanavn" er en nyttig måte å filtrere denne listen på.
For eksempel er det normalt å se en rekke DLLer laget av "Microsoft Corporation" her, ettersom de er en del av Windows. Det er også normalt å se DLL-filer laget av samme selskap som den aktuelle prosessen - "Google Inc." i tilfelle Chrome i skjermbildet nedenfor.
Vi kan også få øye på noen få DLLer laget av "AVAST Software" her. Dette indikerer at Avast antimalware-programvaren på systemet vårt injiserer kode som "Avast Script Blocking filter-biblioteket" i Chrome.
Det er ikke mye du kan gjøre hvis du finner kodeinjeksjon på systemet ditt - bortsett fra å avinstallere programinnsprøytingskoden for å forhindre at den forårsaker problemer. For eksempel, hvis Chrome krasjer regelmessig, kan det være lurt å se om det er noen programmer som injiserer kode i Chrome og avinstallerer dem for å forhindre at de tukler med Chrome-prosessene.
Hvordan fungerer kodeinnsprøyting?
Kodeinjeksjon endrer ikke det underliggende programmet på disken din. I stedet venter den på at applikasjonen skal kjøre, og den injiserer ekstra kode i den kjørende prosessen for å endre hvordan den fungerer.
Windows inneholder en rekke applikasjonsprogrammeringsgrensesnitt (APIer) som kan brukes til kodeinjeksjon. En prosess kan knytte seg til en målprosess, tildele minne, skrive en DLL eller annen kode til det minnet, og deretter instruere målprosessen om å utføre koden. Windows forhindrer ikke prosesser på datamaskinen din slik at de forstyrrer hverandre.
For mer teknisk informasjon, sjekk ut dette blogginnlegget som forklarer hvordan utviklere kan injisere DLLer og denne titt på andre typer kodeinjeksjon på Windows .
I noen tilfeller kan noen endre den underliggende koden på disken - for eksempel ved å erstatte en DLL-fil som følger med et PC-spill med en modifisert for å aktivere juks eller piratkopiering. Dette er teknisk sett ikke "kodeinjeksjon." Koden blir ikke injisert i en pågående prosess, men programmet blir i stedet lurt til å laste inn en annen DLL med samme navn.
Bildekreditt: Lukatme /Shutterstock.com.
