imported>Carnivore-Asylum: Tut mir leid, ich hab den Source total verfrickelt. Hab den jetzt rausgenommen. Wer den Funktionierenden haben will bitte in der englichsprachigen WIkipedia (selber Artikelname) abstauben ..

2026-01-01T08:25:47Z

Tut mir leid, ich hab den Source total verfrickelt. Hab den jetzt rausgenommen. Wer den Funktionierenden haben will bitte in der englichsprachigen WIkipedia (selber Artikelname) abstauben ..

Neue Seite

In der [[Informatik]] bezeichnet '''DLL-Injection''' eine Technik, mit der man [[Maschinencode|Code]] im Adressraum eines anderen [[Prozess (Informatik)|Prozesses]] zur Ausführung bringt, indem man diesen Prozess zwingt, eine programmfremde [[Dynamic Link Library]] (DLL) zu laden. Im Prinzip ist diese Technik bei allen [[Betriebssystem]]en verfügbar, die [[Programmbibliothek#Dynamische Bibliotheken|dynamische Bibliotheken]] unterstützen, der Begriff DLL-Injection bezieht sich jedoch gewöhnlich auf das Betriebssystem [[Microsoft Windows]].

Diese Technik wird nur benötigt, wenn der [[Quellcode]] eines [[Computerprogramm|Programms]], dessen Verhalten man beeinflussen möchte, nicht verfügbar ist. Somit wird DLL-Injection häufig von sogenannten Third-Party Anbietern  genutzt, um das Verhalten eines Programms in einer Weise anzupassen, die vom Entwickler des ursprünglichen Programms nicht vorgesehen wurde. Ein typisches Beispiel für eine die Technik der DLL-Injection nutzende Anwendung ist ein [[Profiler (Programmierung)|Profiler]].

== Verfügbare Techniken unter Windows ==
Unter Microsoft Windows gibt es verschiedene Techniken, eine DLL-Injection zu bewerkstelligen. Die wichtigsten sind dabei folgende:
* Windows-Registry: In der [[Windows-Registrierungsdatenbank|Registrierung]] (''registry'') können unter dem key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" DLLs angegeben werden, die global bei dem Start jedes Programms zusätzlich geladen werden.
* Hooks: Durch die Nutzung von [[Hook (Informatik)|Windows-Hooks]] ist es möglich, eigene DLLs an fremde Prozesse (sowohl selektiv, als auch global) anzuhängen. Zusätzlich lassen sich mithilfe dieser Technik gleich bestimmte Programmaktionen abfangen/verhindern (siehe [[Hook (Informatik)|Windows-Hooks]]).
* CreateRemoteThread: Die CreateRemoteThread API ermöglicht es, einen Thread von einer beliebigen Speicheradresse mit der Übergabe eines Arguments zu starten. Dadurch ist es möglich, bei Aufruf der Speicheradresse, in welcher die LoadLibrary API eines Prozesses liegt, mit dem Argument des zu ladenden DLL-Namens diese DLL in einen fremden Prozess zu laden.
* Direkter [[Speicherzugriff]]: Mithilfe der Windows-Funktionen AllocMemory und WriteMemory ist es möglich, direkt auf den Speicher fremder Prozesse zuzugreifen. So lässt sich neuer Speicher (AllocMemory) anfordern und in diesen eine eigene Funktion zum Nachladen der eigenen DLL schreiben.

* Durch Nutzung von Betriebssystemfunktionen ([[Programmierschnittstelle|APIs]]) zur Manipulation von Prozessen (''process manipulations functions'') kann das Nachladen einer zusätzlichen DLL erreicht werden.

== Nutzung durch bösartige Software ==
Die Nutzung von DLL-Injection ist für [[Malware|bösartige Software]] sehr attraktiv. Diese Technik ermöglicht es, Code unter dem Deckmantel eines anderen Programms auszuführen. Dies ist deshalb interessant, da dadurch Zugriffe auf das [[Internet]] vor einer [[Personal Firewall|Desktop-Firewall]] verschleiert werden können. Hierüber können beispielsweise auf dem infizierten Computer ausgespähte [[Kennwort|Passwörter]] unbemerkt versendet werden. Um diesem Problem zu begegnen, versuchen einige Desktop-Firewalls, durch eine Analyse des Systems eine DLL-Injection zu erkennen, was ihnen jedoch nicht immer gelingt.

== Gegenmaßnahmen ==
* Auf geschützte Prozesse (''protected process'', mit [[Microsoft Windows Vista|Windows Vista]] für den Protected Media Path eingeführt) kann nicht zugegriffen werden, sofern der schreibende Prozess nicht auch ein geschützter Prozess ist

== Literatur ==
* Jeffrey Richter: ''Programming Applications for Microsoft Windows.'' 4th edition. Microsoft Press, Redmond WA 1999, ISBN 1-57231-996-8 (''Microsoft Programming Series'').

[[Kategorie:Programmierung|Dll-Injection]]
[[Kategorie:Schadprogramm|Dll-Injection]]

DLL-Injection - Versionsgeschichte

imported>Carnivore-Asylum: Tut mir leid, ich hab den Source total verfrickelt. Hab den jetzt rausgenommen. Wer den Funktionierenden haben will bitte in der englichsprachigen WIkipedia (selber Artikelname) abstauben ..