论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2044阅读
  • 1回复

掌握DLL文件即刻让软件都“绿”起来 [复制链接]

上一主题 下一主题
离线sswow
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-05-19 10:10:19
软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿”起来,还能防止木马或流氓软件通过捆绑等方式溜进系统。  请来几位助手
  Universal Extractor(简称UE):点击下载Universal Extractor
  eXeScopE:点击下载eXeScopE
  IcesworD:点击下载IcesworD
  小知识——进程、驻留、DLL文件
  可执行文件运行后,在系统中就增加了一个进程,它将运行所需的代码、资源都载入内存。有些软件为了实现监控等功能,从开机后就开始驻留内存,比如防火墙软件。DLL文件是封装起来的单独的可执行模块,供EXE调用其功能,或者作为EXE的基础支持。
  农历、天气预报,WinKld.dll全都有
  “Windows日历”是一个Windows时间显示增强软件,它可以让农历加入托盘区,如果联网还能随时预报天气!用过此软件的朋友可能注意到安装目录下没有可执行文件,倒有一个WinKld.dll文件(大小42.5KB)。其实这个软件就只有WinKld.dll起作用。

图1 WinKld.dll  借助UE提取后注册这个DLL就相当于完成软件的安装。安装UE后右键安装文件选择“UnExtract 提取文件”,将所有资源提取到任意目录,比如D:,我们会找不到WinKld.dll,因为提取以后它变成名叫”$R0”的文件(刚好42.5KB),将名字改回来。然后运行“regsvr32 D:\WinKld.dll”,收到注册成功的提示后重启电脑,当鼠标悬停于托盘区时间上方时效果就出来了。想卸载时运行“regsvr32 /u D:\WinKld.dll”就行了。
  eXeScope挖出DLL文件
  我怎么知道WinKld.dll只需注册就能用?答案是eXeScope!eXeScope常用来编辑程序、DLL等文件中的资源,包括位图、图标、字符串等,通过修改这些资源来个性化程序界面(高手还用它来汉化软件)。这里就用来寻找可注册使用的DLL文件。用eXeScope打开WinKld.dll(或$R0),单击“导出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”两行就说明此DLL需调用regsvr32进行注册。我们可以尝试单纯用regsvr32注册DLL文件,看能否起到和安装软件一样的效果,如果不行直接反注册。

图2 Icesword  Icesword照出DLL的真面目
  有些软件虽然已经装好了,但你还是不知道它究竟需要哪些DLL,这样就被木马钻了空子,它常常扮作别的软件的DLL文件并注入进程。利用Icesword就可以查看进程调用的DLL,辨别程序文件(尤其DLL)是否可疑通常有三个依据:
  (1)位置。正常的DLL文件大多位于System32目录和程序所在路径,而木马的主程序和相关DLL则可能隐藏到Windows目录(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系统还原目录)这些“犄角旮旯”里。
  (2)公司。很简单,正常系统进程调用的DLL显示公司一般为“Microsoft Corporation”或其他软件公司,比如Adobe等,而木马DLL在此处一般为空值,版权信息在右击DLL文件后选择属性就可以看到。
  (3)时间。当系统中木马出现运行缓慢等问题时,可以找出上面提到的目录下,找出最近写入硬盘的文件,包括程序和DLL文件:先以详细信息进行查看,再按修改日期排序,最新的文件最值得怀疑。
  清除DLL木马的方法:打开Icesword查看“进程”,右击explorer.exe选择“模块信息”,找出调用的木马DLL再单击“卸除”,然后删除那个DLL。
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2008-05-19 10:42:12
不错的教程。学习了!