هذه هي تقنية حقن Windows Explorer DLL التي تستخدم مربع حوار تغيير الأيقونة على Windows.
أولاً، يتم إنشاء مجلد في الدليل المؤقت، ويتم فتح خصائص المجلد باستخدام SHObjectProperties. لاسترداد مقبض النافذة بشكل مستقل عن لغة النظام، يتم استخدام EnumWindows مع وظيفة رد الاتصال التي تتحقق من اسم المجلد المميز في كل نافذة مفتوحة.
من خلال صفحة الخصائص، يتم استدعاء مربع حوار تغيير الأيقونة، والذي يتم استرداد مقبضه أيضًا باستخدام EnumWindows. وأخيرًا، يتم تغيير مسار الرمز إلى ملف DLL (الذي له امتداد .ico في هذه الحالة)، مما يجعل المستكشف يقوم بتحميل ملف DLL بعد الضغط على الزر "موافق".
"الأيقونة" هي في الواقع ملف DLL بسيط بامتداد .ico الذي يفتح تطبيق الآلة الحاسبة مع مورد رمز تمت إضافته باستخدام Resource Hacker.
هناك بعض الحالات الشاذة عندما يتعلق الأمر بمظهر الرمز في عرض المجلد. لقد اختبرت هذا على إصدارين مختلفين من Windows 10 (الإصدار الأحدث والأقدم) وعلى Windows 11.
في كلا الإصدارين من Widnows 10، لم يتم عرض الأيقونة المخزنة داخل ملف DLL عند تغيير الامتداد إلى .ico
ومع ذلك، في الإصدار الأحدث من نظام التشغيل Windows 10، كان يعمل حتى حاولت فتح "الأيقونة" داخل تطبيق الصور. ومنذ ذلك الحين، لم أتمكن من إعادة إنشائه.
في نظام التشغيل Windows 11، تم عرض الأيقونة تمامًا مثل الأيقونة العادية في طريقة عرض Explorer. ومع ذلك، عند فتحه في تطبيق الصور، يتم عرض خطأ.
يعد هذا السلوك مثيرًا للاهتمام بالتأكيد، نظرًا لأن المستخدم الذي يريد ببساطة تغيير رمز المجلد قد يقوم بدلاً من ذلك بإدخال ملف DLL ضار في المستكشف الخاص به. قد يبدو هذا كالتالي:
هذه طريقة خفية جدًا لإدخال ملف DLL في عملية Explorer لأنها لا تستخدم واجهة برمجة تطبيقات حقن DLL المعتادة. إنه ينتج نوافذ منبثقة قصيرة، والتي ليست مزعجة للغاية. لذلك يمكن استخدامه كأسلوب للتهرب من AV من قبل جهة تهديد لتنفيذ التعليمات البرمجية من خلال عملية المستكشف الشرعي أو لتحميل UMD rootkit.
كما أن نشر ملفات DLL المقنعة كملفات .ico قد يكون وسيلة هجوم مثيرة للاهتمام.
للحصول على مقابض النوافذ الصحيحة، استخدمت Spy++، وهي أداة يتم تثبيتها مع Visual Studio.
شكرًا جزيلاً لـ Bill G. من Microsoft على رمز المجلد الجميل!
شكرًا لك، أيها الشخص العشوائي على الإنترنت، على أيقونة الحقن الجميلة!
