来源:自学PHP网 时间:2015-04-17 18:32 作者: 阅读:次
[导读] 软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿...
软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿”起来,还能防止木马或流氓软件通过捆绑等方式溜进系统。 请来几位助手 eXeScopE:点击下载eXeScopE IcesworD:点击下载IcesworD 小知识——进程、驻留、DLL文件 可执行文件运行后,在系统中就增加了一个进程,它将运行所需的代码、资源都载入内存。有些软件为了实现监控等功能,从开机后就开始驻留内存,比如防火墙软件。DLL文件是封装起来的单独的可执行模块,供EXE调用其功能,或者作为EXE的基础支持。 农历、天气预报,WinKld.dll全都有 “Windows日历”是一个Windows时间显示增强软件,它可以让农历加入托盘区,如果联网还能随时预报天气!用过此软件的朋友可能注意到安装目录下没有可执行文件,倒有一个WinKld.dll文件(大小42.5KB)。其实这个软件就只有WinKld.dll起作用。 图1 WinKld.dll 借助UE提取后注册这个DLL就相当于完成软件的安装。安装UE后右键安装文件选择“UnExtract 提取文件”,将所有资源提取到任意目录,比如D:,我们会找不到WinKld.dll,因为提取以后它变成名叫”$R0”的文件(刚好42.5KB),将名字改回来。然后运行“regsvr32 D:WinKld.dll”,收到注册成功的提示后重启电脑,当鼠标悬停于托盘区时间上方时效果就出来了。想卸载时运行“regsvr32 /u D:WinKld.dll”就行了。 eXeScope挖出DLL文件 我怎么知道WinKld.dll只需注册就能用?答案是eXeScope!eXeScope常用来编辑程序、DLL等文件中的资源,包括位图、图标、vc/0506/632420.html" target=_blank>字符串等,通过修改这些资源来个性化程序界面(高手还用它来汉化软件)。这里就用来寻找可注册使用的DLL文件。用eXeScope打开WinKld.dll(或$R0),单击“导出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”两行就说明此DLL需调用regsvr32进行注册。我们可以尝试单纯用regsvr32注册DLL文件,看能否起到和安装软件一样的效果,如果不行直接反注册。 图2 Icesword Icesword照出DLL的真面目 有些软件虽然已经装好了,但你还是不知道它究竟需要哪些DLL,这样就被木马钻了空子,它常常扮作别的软件的DLL文件并注入进程。利用Icesword就可以查看进程调用的DLL,辨别程序文件(尤其DLL)是否可疑通常有三个依据: (1)位置。正常的DLL文件大多位于System32目录和程序所在路径,而木马的主程序和相关DLL则可能隐藏到Windows目录(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系统还原目录)这些“犄角旮旯”里。 (2)公司。很简单,正常系统进程调用的DLL显示公司一般为“Microsoft Corporation”或其他软件公司,比如Adobe等,而木马DLL在此处一般为空值,版权信息在右击DLL文件后选择属性就可以看到。 (3)时间。当系统中木马出现运行缓慢等问题时,可以找出上面提到的目录下,找出最近写入硬盘的文件,包括程序和DLL文件:先以详细信息进行查看,再按修改日期排序,最新的文件最值得怀疑。 清除DLL木马的方法:打开Icesword查看“进程”,右击explorer.exe选择“模块信息”,找出调用的木马DLL再单击“卸除”,然后删除那个DLL。 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com