DLLs suspectes et techniques d’injection de DLL
Aperçu: Les bibliothèques de liens dynamiques (DLL) sont fondamentales pour Windows, contenant du code et des ressources réutilisables. Les cheats sont très souvent emballés sous forme de DLL car ils doivent s’exécuter dans l’espace d’adressage du processus cible du jeu (par exemple, , ) pour accéder directement à sa mémoire, ses fonctions et ses structures de données (par exemple, le crochet des fonctions du jeu, la lecture des positions des entités). Comprendre comment les DLL malveillantes sont chargées est essentiel.
javaw.exeFiveM.exeRésumé des techniques d’injection courantes :
Injection DLL standard : Un processus injecteur externe force le processus cible à charger un fichier DLL depuis le disque en utilisant (souvent déclenché via ). Il laisse des traces liées à l’accès aux fichiers (prélecture pour injecteur/DLL, potentiellement OpenSavePidlMRU si un dialogue de fichiers a été utilisé) et à l’interaction avec les processus (appels API).
LoadLibraryCreateRemoteThreadInjection réfléchissante de DLL : plus furtif ; le binaire DLL est écrit directement dans la mémoire de la cible et chargé manuellement par code dans la DLL, évitant ainsi ainsi la nécessité du fichier DLL sur disque à l’exécution. Plus difficile à détecter via une simple API ou une surveillance de liste de modules.
LoadLibraryDétournement de DLL : Exploite l’ordre de recherche des DLL Windows. Un attaquant place une DLL malveillante portant le même nom qu’une DLL légitime requise par une application dans un lieu recherché avant la DLL légitime. L’application charge involontairement le DLL malveillant. Souvent utilisé pour la persistance.
Proxy DLL : Remplacer une DLL légitime par une DLL malveillante qui transmet les appels légitimes à la DLL originale (renommée/déplacée) mais exécute aussi du code malveillant. Permet la triche pendant que l’application hôte fonctionne normalement.
Identifier les DLL suspectes : Au-delà de la méthode d’injection, le DLL lui-même porte souvent des indicateurs suspects :
Manque de signature numérique : C’est un gros signal d’alarme. Les composants logiciels légitimes sont presque toujours signés numériquement par leurs développeurs à l’aide de certificats de confiance. La plupart des triches ou DLL malveillantes codées sur mesure n’ont pas de signature Authenticode valide. Bien que certains outils de niche légitimes ou des bibliothèques plus anciennes puissent être non signés, une DLL non signée chargée dans un processus de jeu, surtout depuis un endroit inhabituel (dossier utilisateur, temporaire), est très suspecte et mérite une enquête approfondie (vérification du hachage contre des triches connues, décompilation/désassemblage si possible).
Emplacement inhabituel : Les DLL légitimes requises par un jeu se trouvent généralement dans le répertoire d’installation du jeu ou dans les dossiers système standards (, ). Trouver des DLL chargées par le processus de jeu à partir de , , , , ou d’autres emplacements écrivables par l’utilisateur est très suspect.
System32SysWOW64DownloadsDesktop%AppData%%Temp%Nom/importations suspectes : Les DLL dont les noms suggèrent une triche (, ) sont évidentes. L’examen de la table d’importation de la DLL (fonctions qu’elle utilise provenant d’autres DLL, consultables avec des outils comme PeStudio ou DiE) peut révéler des dépendances suspectes (par exemple, une utilisation intensive de la manipulation de la mémoire ou des fonctions de hooking d’entrée).
aimbot.dllesp_hook.dll
Focus de détection : Combinez la vérification des processus/artefacts injecteurs, l’analyse des modules chargés du processus de jeu (onglet System Informer Modules), la numérisation de la mémoire du processus (Volatilité /), et, de manière critique, la réalisation de vérifications de signature et de Yara (par exemple, l’utilisation de l’outil PathParser de Spok sur les DLL trouvées dans les vidages mémoire) sur toute DLL inconnue ou suspectement localisée associée au processus de jeu.
dlllistldrmodulescsrss
Mis à jour