武当休闲山庄 » IT 技术 » 掌握DLL文件即刻让软件都“绿”起来
友情赞助山庄! 打工赚金币道行(加50-70金币/次) 如何不发帖就快速得到金币道行 道友像册 | 斑竹相册 | 山庄T桖
山庄新手帮助汇总帖 山庄最新 会员违规处罚标准 宝玉带你游山庄
本页主题: 掌握DLL文件即刻让软件都“绿”起来 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

zhuce00000
热心助人奖 灌水天才奖 认真回复奖 原创先锋奖 优秀会员奖 山庄宣传奖 山庄2周年纪念勋章 仙人幑章 贴图大师奖 水瓶座勋章 AC米兰铁杆粉丝勋章 竞猜高手奖 游戏高手奖 山庄元老勋章 山庄3周年纪念勋章
UID: 183485
职务:得道成仙
级别:得道成仙


精华: 12
发帖: 18473
道行: 2392 点
金币: 1879 枚
贡献值: 1944 点
原创: 232 帖
奖券: 0 点
斑竹工龄: 0 月
在线时间:6392(小时)
注册时间:2007-04-12
最后登录:2009-01-07
引用 推荐 编辑 只看 复制

 掌握DLL文件即刻让软件都“绿”起来


      软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿”起来,还能防止木马或流氓软件通过捆绑等方式溜进系统。

请来几位助手
Universal Extractor(简称UE)
eXeScopE
IcesworD

小知识——进程、驻留、DLL文件

      可执行文件运行后,在系统中就增加了一个进程,它将运行所需的代码、资源都载入内存。有些软件为了实现监控等功能,从开机后就开始驻留内存,比如防火墙软件。DLL文件是封装起来的单独的可执行模块,供EXE调用其功能,或者作为EXE的基础支持。

农历、天气预报,WinKld.dll全都有

      “Windows日历”是一个Windows时间显示增强软件,它可以让农历加入托盘区,如果联网还能随时预报天气(见图1)!用过此软件的朋友可能注意到安装目录下没有可执行文件,倒有一个WinKld.dll文件(大小42.5KB)。其实这个软件就只有WinKld.dll起作用。

      借助UE提取后注册这个DLL就相当于完成软件的安装。安装UE后右键安装文件选择“UnExtract 提取文件”,将所有资源提取到任意目录,比如D:,我们会找不到WinKld.dll,因为提取以后它变成名叫”$R0”的文件(刚好42.5KB),将名字改回来。然后运行“regsvr32 D:\WinKld.dll”,收到注册成功的提示后重启电脑,当鼠标悬停于托盘区时间上方时效果就出来了。想卸载时运行“regsvr32 /u D:\WinKld.dll”就行了。

eXeScope挖出DLL文件

      我怎么知道WinKld.dll只需注册就能用?答案是eXeScope!eXeScope常用来编辑程序、DLL等文件中的资源,包括位图、图标、字符串等,通过修改这些资源来个性化程序界面(高手还用它来汉化软件)。这里就用来寻找可注册使用的DLL文件。用eXeScope打开WinKld.dll(或$R0),单击“导出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”两行就说明此DLL需调用regsvr32进行注册。我们可以尝试单纯用regsvr32注册DLL文件,看能否起到和安装软件一样的效果,如果不行直接反注册。

Icesword照出DLL的真面目

      有些软件虽然已经装好了,但你还是不知道它究竟需要哪些DLL,这样就被木马钻了空子,它常常扮作别的软件的DLL文件并注入进程。利用Icesword就可以查看进程调用的DLL,辨别程序文件(尤其DLL)是否可疑通常有三个依据:

(1)位置。正常的DLL文件大多位于System32目录和程序所在路径,而木马的主程序和相关DLL则可能隐藏到Windows目录(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系统还原目录)这些“犄角旮旯”里。

(2)公司。很简单,正常系统进程调用的DLL显示公司一般为“Microsoft Corporation”或其他软件公司,比如Adobe等,而木马DLL在此处一般为空值,版权信息在右击DLL文件后选择属性就可以看到。

(3)时间。当系统中木马出现运行缓慢等问题时,可以找出上面提到的目录下,找出最近写入硬盘的文件,包括程序和DLL文件:先以详细信息进行查看,再按修改日期排序,最新的文件最值得怀疑。
清除DLL木马的方法:打开Icesword查看“进程”,右击explorer.exe选择“模块信息”,找出调用的木马DLL再单击“卸除”,然后删除那个DLL。
本帖最近评分记录:
  • 金币:15 (By qigai) | 理由: 谢谢支持本版
    • 顶端 Posted: 2007-12-26 14:04 | [楼 主]
    luhe
    忠实会员奖
    UID: 47757
    职务:普通会员
    级别:武当泰斗


    精华: 0
    发帖: 7972
    道行: 197 点
    金币: 57 枚
    贡献值: 0 点
    原创: 1 帖
    奖券: 84 点
    斑竹工龄: 0 月
    在线时间:1793(小时)
    注册时间:2006-03-07
    最后登录:2009-01-07
    引用 推荐 编辑 只看 复制

     

    谢谢指点了
    山庄提示:金币怎么办?
    顶端 Posted: 2007-12-27 08:23 | 1 楼
    帖子浏览记录 版块浏览记录
    武当休闲山庄 » IT 技术

     


    Time now is:01-08 06:45, Gzip enabled 沪ICP备:05041533号
    Powered by PHPWind v6.3.2 Certificate Code © 2003-08 PHPWind.com Corporation

    禁止任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
    如有不当之处请警察叔叔指出,我们将马上改正!