论文部分内容阅读
把安装程序里的DLL挖出来,就能当绿色软件用了吗?
软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿”起来,还能防止木马或流氓软件通过捆绑等方式溜进系统。
请来几位助手
Universal Extractor(简称UE):http://www.newhua.com/soft/50717.htm
eXeScope:http://www.newhua.com/soft/9594.htm
Icesword:http://www.ttian.net/website/2005/0829/391.html
进程、驻留、DLL文件
可执行文件运行后,在系统中就增加了一个进程,它将运行所需的代码、资源都载入内存。有些软件为了实现监控等功能,从开机后就开始驻留内存,比如防火墙软件。DLL文件是封装起来的单独的可执行模块,供EXE调用其功能,或者作为EXE的基础支持。
农历、天气预报,WinKld.dll全都有
“Windows日历”(下载地址:http://www.88dog.com/download/setup.exe)是一个Windows时间显示增强软件,它可以让农历加入托盘区,如果联网还能随时预报天气!用过此软件的朋友可能注意到安装目录下没有可执行文件,倒有一个WinKld.dll文件(大小42.5KB)。其实这个软件就只有WinKld.dll起作用。
借助UE提取后注册这个DLL就相当于完成软件的安装。安装UE后右键安装文件选择“UnExtract 提取文件”,将所有资源提取到任意目录,比如D:,我们会找不到WinKld.dll,因为提取以后它变成名叫”$R0”的文件(刚好42.5KB),将名字改回来。然后运行“regsvr32 D:\WinKld.dll”,收到注册成功的提示后重启电脑,当鼠标悬停于托盘区时间上方时效果就出来了。想卸载时运行“regsvr32 /u D:\WinKld.dll”就行了。
eXeScope挖出DLL文件
我怎么知道WinKld.dll只需注册就能用?答案是eXeScope!eXeScope常用来编辑程序、DLL等文件中的资源,包括位图、图标、字符串等,通过修改这些资源来个性化程序界面(高手还用它来汉化软件)。这里就用来寻找可注册使用的DLL文件。用eXeScope打开WinKld.dll(或$R0),单击“导出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”两行就说明此DLL需调用regsvr32进行注册(见图1)。我们可以尝试单纯用regsvr32注册DLL文件,看能否起到和安装软件一样的效果,如果不行直接反注册。
Icesword照出DLL的真面目
有些软件虽然已经装好了,但你还是不知道它究竟需要哪些DLL,这样就被木马钻了空子,它常常扮作别的软件的DLL文件并注入进程。利用Icesword就可以查看进程调用的DLL,辨别程序文件(尤其DLL)是否可疑通常有三个依据:
(1)位置。正常的DLL文件大多位于System32目录和程序所在路径,而木马的主程序和相关DLL则可能隐藏到Windows目录(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系统还原目录)这些“犄角旮旯”里。
(2)公司。很简单,正常系统进程调用的DLL显示公司一般为“Microsoft Corporation”或其他软件公司,比如Adobe等,而木马DLL在此处一般为空值,版权信息在右击DLL文件后选择属性就可以看到。
(3)时间。当系统中因木马出现运行缓慢等问题时,可以在上面提到的目录下,找出最近写入硬盘的文件,包括程序和DLL文件:先以详细信息进行查看,再按修改日期排序,最新的文件最值得怀疑。
清除DLL木马的方法:打开Icesword查看“进程”,右击explorer.exe选择“模块信息”,找出调用的木马DLL再单击“卸除”,然后删除那个DLL(见图2)。
软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿”起来,还能防止木马或流氓软件通过捆绑等方式溜进系统。
请来几位助手
Universal Extractor(简称UE):http://www.newhua.com/soft/50717.htm
eXeScope:http://www.newhua.com/soft/9594.htm
Icesword:http://www.ttian.net/website/2005/0829/391.html
进程、驻留、DLL文件
可执行文件运行后,在系统中就增加了一个进程,它将运行所需的代码、资源都载入内存。有些软件为了实现监控等功能,从开机后就开始驻留内存,比如防火墙软件。DLL文件是封装起来的单独的可执行模块,供EXE调用其功能,或者作为EXE的基础支持。
农历、天气预报,WinKld.dll全都有
“Windows日历”(下载地址:http://www.88dog.com/download/setup.exe)是一个Windows时间显示增强软件,它可以让农历加入托盘区,如果联网还能随时预报天气!用过此软件的朋友可能注意到安装目录下没有可执行文件,倒有一个WinKld.dll文件(大小42.5KB)。其实这个软件就只有WinKld.dll起作用。
借助UE提取后注册这个DLL就相当于完成软件的安装。安装UE后右键安装文件选择“UnExtract 提取文件”,将所有资源提取到任意目录,比如D:,我们会找不到WinKld.dll,因为提取以后它变成名叫”$R0”的文件(刚好42.5KB),将名字改回来。然后运行“regsvr32 D:\WinKld.dll”,收到注册成功的提示后重启电脑,当鼠标悬停于托盘区时间上方时效果就出来了。想卸载时运行“regsvr32 /u D:\WinKld.dll”就行了。
eXeScope挖出DLL文件
我怎么知道WinKld.dll只需注册就能用?答案是eXeScope!eXeScope常用来编辑程序、DLL等文件中的资源,包括位图、图标、字符串等,通过修改这些资源来个性化程序界面(高手还用它来汉化软件)。这里就用来寻找可注册使用的DLL文件。用eXeScope打开WinKld.dll(或$R0),单击“导出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”两行就说明此DLL需调用regsvr32进行注册(见图1)。我们可以尝试单纯用regsvr32注册DLL文件,看能否起到和安装软件一样的效果,如果不行直接反注册。
Icesword照出DLL的真面目
有些软件虽然已经装好了,但你还是不知道它究竟需要哪些DLL,这样就被木马钻了空子,它常常扮作别的软件的DLL文件并注入进程。利用Icesword就可以查看进程调用的DLL,辨别程序文件(尤其DLL)是否可疑通常有三个依据:
(1)位置。正常的DLL文件大多位于System32目录和程序所在路径,而木马的主程序和相关DLL则可能隐藏到Windows目录(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系统还原目录)这些“犄角旮旯”里。
(2)公司。很简单,正常系统进程调用的DLL显示公司一般为“Microsoft Corporation”或其他软件公司,比如Adobe等,而木马DLL在此处一般为空值,版权信息在右击DLL文件后选择属性就可以看到。
(3)时间。当系统中因木马出现运行缓慢等问题时,可以在上面提到的目录下,找出最近写入硬盘的文件,包括程序和DLL文件:先以详细信息进行查看,再按修改日期排序,最新的文件最值得怀疑。
清除DLL木马的方法:打开Icesword查看“进程”,右击explorer.exe选择“模块信息”,找出调用的木马DLL再单击“卸除”,然后删除那个DLL(见图2)。