DLL劫持漏洞清单
HijackLibs 是一个聚焦 DLL Hijacking 的开源项目,维护 DLL 与易受影响可执行文件之间的映射,并提供相关元数据。它覆盖 DLL Sideloading、Phantom DLL Hijacking、DLL Search Order Hijacking 以及基于环境变量的 DLL Hijacking 等 T1574.001 场景。项目定位不是 AV/EDR,也不是利用框架,而是面向检测与研究的数据源。
在防护类型上,HijackLibs 主要提供检测知识库和规则内容,帮助防御方识别可能的 DLL 劫持行为。项目提供开箱即用的 Sigma 规则,并按 image loads、file writes、unsigned image loads 等维度生成 feed。部署方式较轻量,用户可通过网站查询,也可使用 JSON、CSV、YAML API 数据集接入自动化流程。管理与告警能力本身并不内置,需要将 Sigma 规则导入 SIEM、EDR 或日志平台后实现告警运营。
正文未披露商业收费,且明确项目 fully open source,因此可视为免费开源数据源。集成能力是其优势:包括 /api/hijacklibs.json、/api/hijacklibs.csv、GitHub YAML 源文件,以及多个 Sigma feed,适合检测工程师定期同步、转换并纳入内部规则库。
优点是主题聚焦、结构化程度高,并能直接服务威胁狩猎和检测规则开发;同时社区可贡献,数据具备持续更新潜力。局限也很明显:它不能直接阻断攻击,没有正文可见的 SLA、商业支持或合规认证信息;检测效果依赖终端日志、镜像加载事件、文件写入事件等数据质量,以及企业自身的规则调优能力。
它适合 SOC、蓝队、威胁猎手和检测工程团队,用来补充 DLL Hijacking 检测覆盖;红队也可用于识别候选 DLL,但项目明确不提供 PoC、代码模板或教程。中国访问状态正文未提供,评估为未知。支付方面无商业支付信息。替代或互补方案包括 SigmaHQ、MITRE ATT&CK、LOLBAS、企业 EDR/SIEM 规则库等。
本测评基于公开资料整理,不构成购买建议,请以 hijacklibs.net 官网实际信息为准。
安全研究高价值资料库,免费可用。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。