借助第三方工具　用好DLL文件

波哥

查看并提取DLL中所包含的資源

如果需要提取D L L 文件中圖片、圖標(biāo)、版本或版權(quán)信息等，用Redwood軟件就能很容易做到（http：//www.the-sz.com/products/redwood/Redwood.zip）。該軟件只有一個(gè)EXE文件，直接運(yùn)行即可啟動(dòng)。它還能提取OCX、EXE、CPL或其他類型文件中的資源。

啟動(dòng)軟件之后，先選擇需要處理的DLL文件（或其他文件），例如“C：＼Windows＼System32＼shell2.dll”，然后點(diǎn)擊“打開”按鈕（圖1）。

隨后，會(huì)以目錄樹的形式顯示上述打開的文件中所包含的各種資源。從左側(cè)的目錄樹中選擇要瀏覽的資源，例如某個(gè)圖標(biāo)，點(diǎn)擊“Extract”按鈕，即可將該資源保存下來（圖2）。

除了圖標(biāo)、光標(biāo)、圖片外，此類文件中還會(huì)包含其他信息。例如，在shell2.dll中所包含的最后一組資源的“RT_VERSION”分支中，就可以獲得該程序的版本、版權(quán)等信息（圖3）。

瀏覽DLL并查明哪個(gè)進(jìn)程使用它

有時(shí)，系統(tǒng)遇到故障時(shí)會(huì)報(bào)告某個(gè)DL L文件出現(xiàn)問題，可是我們又不知道哪個(gè)軟件正在使用該DLL文件。

那該怎么辦呢？其實(shí)，只需利用綠色軟件LoadedDllsView（http：//www.nirsoft.net/），就能很快地查明。

運(yùn)行該軟件，它會(huì)自動(dòng)掃描系統(tǒng)中所有正在運(yùn)行的進(jìn)程，并顯示這些進(jìn)程加載的所有DLL文件的列表及數(shù)量。從窗口上端的列表中選擇需要查看的DLL文件，下端的窗格中隨即就會(huì)顯示調(diào)用該DLL文件的進(jìn)程。例如，本例中系統(tǒng)一共掃描出1674個(gè)DLL文件被加載，在上端的窗格中選中的askFS.dll文件，下端的窗格中會(huì)顯示它為QQ.EXE文件所調(diào)用（圖4）。這樣就能探明其來源了。

在列表中的DLL文件上單擊鼠標(biāo)右鍵，然后選擇“HTML Report - Selected Items”，可以將選中的DLL與進(jìn)程的關(guān)系保存為報(bào)告文件。如果選擇“HTMLReport - All Items”，則可以將所有條目的關(guān)系保存為報(bào)告文件（圖5）。

我們還可以根據(jù)需要，選擇只顯示3 2位或6 4位的DLL文件于列表之中。要完成這項(xiàng)篩選，只需依次點(diǎn)擊“Options→Show 32-bit DLLs”或“Options→Show 64-bit DLLs”即可。此外，如果選擇了“ShowOnly Non-Microsoft DLLs”，則只顯示Microsoft自帶的DLL（圖6），這樣可以排除外部軟件DLL文件的影響而僅對(duì)系統(tǒng)自帶的DLL進(jìn)行分析。

通過DLL分析系統(tǒng)潛在的威脅

希望分析DLL中潛在威脅的高級(jí)用戶，可以借助SpyDllRemover軟件（http：//securityxploded.com/）。該軟件也是便攜軟件，解包后直接運(yùn)行。

啟動(dòng)該軟件后，點(diǎn)擊“Start Scan”按鈕，它會(huì)自動(dòng)掃描正在運(yùn)行的進(jìn)程并顯示可能存在威脅的項(xiàng)目（圖7）。之后，點(diǎn)擊“Kill Process”按鈕，便可以殺掉選中的危險(xiǎn)進(jìn)程。

如果希望進(jìn)一步驗(yàn)證某個(gè)可疑的進(jìn)程，可以右擊該進(jìn)程，然后依次選擇“Scan Oneline →ProcessLibrar y”，進(jìn)入在線進(jìn)程庫(kù)搜索，并根據(jù)網(wǎng)上給出的參考信息進(jìn)行綜合判斷（圖8）。

該軟件還包含一個(gè)進(jìn)程查看器“ ProcessViewer”，可以用顏色自動(dòng)突出顯示可疑的進(jìn)程;以及一個(gè)跟蹤D L L 文件相關(guān)進(jìn)程的工具“DLLTracer”。