Chèn mã phổ biến trên Windows. Các ứng dụng “đưa” các đoạn mã của riêng chúng vào một quy trình đang chạy khác để sửa đổi hành vi của nó. Kỹ thuật này có thể được sử dụng cho điều thiện hoặc điều ác, nhưng dù theo cách nào thì nó cũng có thể gây ra vấn đề.
Chèn mã cũng thường được gọi là tiêm DLL vì mã được tiêm vào thường ở dạng Tệp DLL (thư viện liên kết động) . Tuy nhiên, các ứng dụng cũng có thể đưa các loại mã khác không phải là DLL vào một quy trình.
Tiêm mã được sử dụng để làm gì
Chèn mã được sử dụng để thực hiện tất cả các loại thủ thuật và chức năng trên Windows. Trong khi các chương trình hợp pháp sử dụng nó, nó cũng bị phần mềm độc hại sử dụng. Ví dụ:
- Các chương trình chống vi-rút thường đưa mã vào trình duyệt web. Ví dụ, họ có thể sử dụng nó để giám sát lưu lượng mạng và chặn nội dung web nguy hiểm.
- Các chương trình độc hại có thể thêm mã vào trình duyệt web của bạn để theo dõi quá trình duyệt web của bạn tốt hơn, lấy cắp thông tin được bảo vệ như mật khẩu và số thẻ tín dụng cũng như thay đổi cài đặt trình duyệt của bạn.
- Stardock's WindowBlinds, chủ đề cho màn hình của bạn, đưa mã vào sửa đổi cách cửa sổ được vẽ .
- Stardock’s Fences đưa mã vào thay đổi cách hoạt động của màn hình Windows .
- AutoHotkey, cho phép bạn tạo tập lệnh và gán các phím nóng trên toàn hệ thống cho chúng , chèn mã để thực hiện điều này.
- Trình điều khiển đồ họa giống như NVIDIA đưa các tệp DLL vào để hoàn thành nhiều tác vụ liên quan đến đồ họa.
- Một số chương trình chèn các tệp DLL để thêm các tùy chọn menu bổ sung vào ứng dụng.
- Các công cụ gian lận trong trò chơi PC thường đưa mã vào trò chơi để sửa đổi hành vi của họ và giành lợi thế không công bằng trước những người chơi khác.
Code Injection có xấu không?
Kỹ thuật này được sử dụng liên tục bởi nhiều ứng dụng trên Windows. Đó là cách thực sự duy nhất để hoàn thành nhiều nhiệm vụ. So với nền tảng di động hiện đại như iOS của Apple hoặc Android của Google, máy tính để bàn Windows rất mạnh mẽ vì nếu cung cấp loại linh hoạt này cho các nhà phát triển.
Tất nhiên, với tất cả sức mạnh đó đi kèm với một số nguy hiểm. Chèn mã có thể gây ra sự cố và lỗi trong các ứng dụng. Google cho biết người dùng Windows có mã được chèn vào trình duyệt Chrome của họ có nguy cơ gặp sự cố Chrome cao hơn 15%, đó là lý do tại sao Google đang nỗ lực để ngăn chặn điều này. Microsoft lưu ý rằng ứng dụng độc hại có thể sử dụng tính năng chèn mã để giả mạo cài đặt trình duyệt, đó là một lý do khiến nó đã bị chặn trong Edge.
Sự kiện của Microsoft cung cấp hướng dẫn để kiểm tra xem các tệp DLL của bên thứ ba có được tải trong Microsoft Outlook hay không, vì chúng gây ra rất nhiều sự cố Outlook.
Như một nhân viên của Microsoft đã đưa nó vào blog của nhà phát triển từ năm 2004:
Tiêm DLL không bao giờ là an toàn. Bạn đang nói về việc đưa mã vào một quy trình chưa từng được tác giả của quy trình thiết kế, xây dựng hoặc thử nghiệm và đồng chọn hoặc tạo một chuỗi để chạy mã đó. Bạn có nguy cơ tạo ra các vấn đề về thời gian, đồng bộ hóa hoặc tài nguyên không có trước đó hoặc làm trầm trọng thêm các vấn đề đã có ở đó.
Nói cách khác, tiêm mã là một loại hack bẩn thỉu. Trong một thế giới lý tưởng, sẽ có một cách an toàn hơn để thực hiện điều này mà không gây ra bất ổn tiềm ẩn. Tuy nhiên, việc tiêm mã chỉ là một phần bình thường của nền tảng ứng dụng Windows ngày nay. Nó liên tục xảy ra trong nền trên PC Windows của bạn. Bạn có thể gọi nó là một điều ác cần thiết.
Cách kiểm tra các tệp DLL được tiêm
Bạn có thể kiểm tra việc đưa mã vào hệ thống của mình bằng tính năng mạnh mẽ của Microsoft Trình khám phá quy trình ứng dụng. Về cơ bản, đây là phiên bản nâng cao của Trình quản lý tác vụ được tích hợp các tính năng bổ sung.
Tải xuống và chạy Process Explorer nếu bạn muốn làm điều này. Nhấp vào View> Lower Pane View> DLLs hoặc nhấn Ctrl + D.
Chọn một quy trình trong ngăn trên cùng và nhìn vào ngăn dưới để xem các tệp DLL được tải. Cột "Tên công ty" cung cấp một cách hữu ích để lọc danh sách này.
Ví dụ: bình thường bạn sẽ thấy nhiều tệp DLL do “Tập đoàn Microsoft” tạo ra tại đây vì chúng là một phần của Windows. Cũng bình thường khi thấy các tệp DLL do cùng một công ty thực hiện như quy trình được đề cập— “Google Inc.” trong trường hợp của Chrome trong ảnh chụp màn hình bên dưới.
Chúng tôi cũng có thể phát hiện một vài DLL được tạo bởi “Phần mềm AVAST” tại đây. Điều này cho thấy rằng phần mềm chống phần mềm độc hại Avast trên hệ thống của chúng tôi đang đưa mã như “Thư viện bộ lọc chặn tập lệnh Avast” vào Chrome.
Bạn không thể làm gì nhiều nếu phát hiện thấy mã chèn trên hệ thống của mình — ngoài việc gỡ cài đặt chương trình chèn mã để ngăn nó gây ra sự cố. Ví dụ: nếu Chrome thường xuyên gặp sự cố, bạn có thể muốn xem liệu có bất kỳ chương trình nào chèn mã vào Chrome hay không và gỡ cài đặt chúng để ngăn chúng can thiệp vào các quy trình của Chrome.
Code Injection hoạt động như thế nào?
Chèn mã không sửa đổi ứng dụng cơ bản trên đĩa của bạn. Thay vào đó, nó đợi ứng dụng đó chạy và nó đưa mã bổ sung vào quá trình đang chạy đó để thay đổi cách nó hoạt động.
Windows bao gồm nhiều loại giao diện lập trình ứng dụng (API) có thể được sử dụng để tiêm mã. Một tiến trình có thể tự gắn vào một tiến trình đích, cấp phát bộ nhớ, ghi một DLL hoặc mã khác vào bộ nhớ đó, sau đó chỉ thị cho tiến trình đích thực thi mã. Windows không ngăn các quy trình trên máy tính của bạn can thiệp vào nhau như thế này.
Để biết thêm thông tin kỹ thuật, hãy xem bài đăng trên blog này giải thích cách các nhà phát triển có thể đưa các tệp DLL vào và cái này nhìn vào các loại chèn mã khác trên Windows .
Trong một số trường hợp, ai đó có thể thay đổi mã cơ bản trên đĩa — ví dụ: bằng cách thay thế tệp DLL đi kèm với trò chơi PC bằng tệp đã sửa đổi để cho phép gian lận hoặc vi phạm bản quyền. Về mặt kỹ thuật, đây không phải là “chèn mã”. Mã không được đưa vào một quy trình đang chạy, nhưng thay vào đó, chương trình đang bị lừa tải một DLL khác có cùng tên.
Tín dụng hình ảnh: Lukatme /Shutterstock.com.
