波哥

查看并提取DLL中所包含的資源

如果需要提取D L L 文件中圖片、圖標、版本或版權信息等，用Redwood軟件就能很容易做到（http：//www.the-sz.com/products/redwood/Redwood.zip）。該軟件只有一個EXE文件，直接運行即可啟動。它還能提取OCX、EXE、CPL或其他類型文件中的資源。

啟動軟件之后，先選擇需要處理的DLL文件（或其他文件），例如“C：＼Windows＼System32＼shell2.dll”，然后點擊“打開”按鈕（圖1）。

隨后，會以目錄樹的形式顯示上述打開的文件中所包含的各種資源。從左側(cè)的目錄樹中選擇要瀏覽的資源，例如某個圖標，點擊“Extract”按鈕，即可將該資源保存下來（圖2）。

除了圖標、光標、圖片外，此類文件中還會包含其他信息。例如，在shell2.dll中所包含的最后一組資源的“RT_VERSION”分支中，就可以獲得該程序的版本、版權等信息（圖3）。

瀏覽DLL并查明哪個進程使用它

有時，系統(tǒng)遇到故障時會報告某個DL L文件出現(xiàn)問題，可是我們又不知道哪個軟件正在使用該DLL文件。

那該怎么辦呢？其實，只需利用綠色軟件LoadedDllsView（http：//www.nirsoft.net/），就能很快地查明。

運行該軟件，它會自動掃描系統(tǒng)中所有正在運行的進程，并顯示這些進程加載的所有DLL文件的列表及數(shù)量。從窗口上端的列表中選擇需要查看的DLL文件，下端的窗格中隨即就會顯示調(diào)用該DLL文件的進程。例如，本例中系統(tǒng)一共掃描出1674個DLL文件被加載，在上端的窗格中選中的askFS.dll文件，下端的窗格中會顯示它為QQ.EXE文件所調(diào)用（圖4）。這樣就能探明其來源了。

在列表中的DLL文件上單擊鼠標右鍵，然后選擇“HTML Report - Selected Items”，可以將選中的DLL與進程的關系保存為報告文件。如果選擇“HTMLReport - All Items”，則可以將所有條目的關系保存為報告文件（圖5）。

我們還可以根據(jù)需要，選擇只顯示3 2位或6 4位的DLL文件于列表之中。要完成這項篩選，只需依次點擊“Options→Show 32-bit DLLs”或“Options→Show 64-bit DLLs”即可。此外，如果選擇了“ShowOnly Non-Microsoft DLLs”，則只顯示Microsoft自帶的DLL（圖6），這樣可以排除外部軟件DLL文件的影響而僅對系統(tǒng)自帶的DLL進行分析。

通過DLL分析系統(tǒng)潛在的威脅

希望分析DLL中潛在威脅的高級用戶，可以借助SpyDllRemover軟件（http：//securityxploded.com/）。該軟件也是便攜軟件，解包后直接運行。

啟動該軟件后，點擊“Start Scan”按鈕，它會自動掃描正在運行的進程并顯示可能存在威脅的項目（圖7）。之后，點擊“Kill Process”按鈕，便可以殺掉選中的危險進程。

如果希望進一步驗證某個可疑的進程，可以右擊該進程，然后依次選擇“Scan Oneline →ProcessLibrar y”，進入在線進程庫搜索，并根據(jù)網(wǎng)上給出的參考信息進行綜合判斷（圖8）。

該軟件還包含一個進程查看器“ ProcessViewer”，可以用顏色自動突出顯示可疑的進程;以及一個跟蹤D L L 文件相關進程的工具“DLLTracer”。