手动屏蔽 winspool.drv 劫持 —— 以易语言 EXE 为例

适用场景： 无壳易语言程序 / 其他语言编写的无壳程序
参考来源： 百度 & 网络技术资料
主要目标： 防止恶意 DLL（如 winspool.drv）被注入或劫持加载

✦ 技术背景

在 Windows 程序运行过程中，DLL 劫持是一种常见的攻击方式。攻击者可伪造系统 DLL（如 winspool.drv），并通过各种方式将其放置在 EXE 的查找路径中，从而劫持进程控制权。

对于开发者而言，屏蔽或限制指定 DLL 的加载，可以作为一种简单但有效的防御手段。本文介绍如何通过添加 Manifest（程序清单）手动屏蔽 DLL 的加载，特别适用于最初编译生成的无壳易语言程序。

✦ 操作方法

➤ 方法一：使用资源编辑器添加 Manifest

1. 打开资源编辑器（如 Resource Hacker 或 eXeScope）
2. 载入目标 EXE 文件
3. 新建或编辑 Manifest 资源
4. 添加以下内容用于屏蔽 winspool.drv：

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
    <file name="winspool.drv" loadFrom="%SystemRoot%\system32\winspool.drv" />
</assembly>

➤ 方法二：编译器内设置（适用于非易语言程序）

如果使用的是如 Visual Studio、Delphi 等编译器，可通过项目设置或嵌入资源方式指定 manifest，从而达到相同效果。

✦ 说明与建议

• 以上方法可以类比使用于屏蔽其他指定 DLL，只需修改 <file name="xxx.dll" ... /> 即可。
• 推荐在程序初次编译完成且无壳时添加 manifest，避免因壳工具干扰资源结构。

• 添加 manifest 后，可自行再加壳或启用其他安全防护方式，如：

  • 加壳压缩（UPX、Enigma、Themida 等）
  • 资源保护或反调试手段

✦ 示例文件说明（附件内容）

• 原始样本.exe：未屏蔽 DLL 的原始易语言程序
• 修改后样本.exe：添加 Manifest 后的版本
• 伪造 winspool.drv：模拟劫持用的测试 DLL

⚠️ 请勿用于非法用途，此方法仅供技术研究与防御演示。

✦ 总结

通过简单地添加 manifest，可以实现对特定 DLL 的加载路径控制，从而有效降低 DLL 劫持攻击的风险。此法尤其适合对程序壳结构敏感的开发者或对抗基础注入行为的轻量保护需求。