共享模块: 合法系统模块劫持

合法系统模块劫持（Legitimate System Module Hijacking）是指攻击者通过篡改系统模块加载顺序或替换合法模块实现恶意代码执行的隐蔽技术。该技术利用操作系统动态链接库搜索机制缺陷，在合法应用程序加载系统模块（如Windows系统DLL或Linux共享对象）时，通过路径优先级劫持或模块替换植入恶意功能。例如通过伪造高优先级目录下的同名DLL文件，或篡改模块依赖关系实现侧加载攻击，使得系统在不知情的情况下执行被篡改的模块代码。

该技术的匿迹核心在于构建"合法载体-恶意功能"的寄生关系。攻击者通过逆向分析目标系统模块的导出函数表和依赖关系，精准构造功能兼容的恶意模块，保留原始模块的正常接口与行为模式，仅在特定条件触发时执行恶意负载。在加载路径劫持场景中，攻击者利用应用程序模块搜索路径的顺序特性，将恶意模块放置在优先于系统目录的路径位置，实现透明化替换。在模块替换场景中，通过数字签名伪造或合法证书滥用，使恶意模块获得系统信任。技术实施需解决模块兼容性校验、依赖链完整性和行为模拟三大难题，通常采用延迟加载、条件触发等机制降低暴露风险。最终形成的劫持模块具备与合法模块相同的加载上下文、数字签名和交互特征，使得传统基于模块哈希校验或签名验证的防御机制失效。