首頁 | 關于我們 |  服務項目新聞動態 | 資料下載 |  技術支持 | 知識庫 | 聯系我們 報修電話:13821136568
 
   天津電腦維修網 > 知識庫 > 網絡相關知識 > 正文
 
掌握DLL文件即刻讓軟件都“綠”起來
 
軟件是不是只有安裝了才能用?當然不是,我們有綠色軟件,那么有安裝程序的軟件是不是必須安裝了才能用呢?也未必,有很多軟件直接提取文件后就能用了,這樣不但能使軟件“綠”起來,還能防止木馬或流氓軟件通過捆綁等方式溜進系統。  

請來幾位助手
Universal Extractor(簡稱UE):
          Universal Extractor 1.3.1 漢化版:http://www.myfiles.com.cn/soft/15/15904.htm
eXeScopE:
           eXeScope 6.50 簡體中文版:http://www.myfiles.com.cn/soft/32/32818.htm
Icesword:
           冰刃 IceSword 1.20 中文版http://www.myfiles.com.cn/soft/29/29429.htm

小知識——進程、駐留、DLL文件
  可執行文件運行后,在系統中就增加了一個進程,它將運行所需的代碼、資源都載入內存。有些軟件為了實現監控等功能,從開機后就開始駐留內存,比如防火墻軟件。DLL文件是封裝起來的單獨的可執行模塊,供EXE調用其功能,或者作為EXE的基礎支持。
  農歷、天氣預報,WinKld.dll全都有
  “Windows日歷”是一個Windows時間顯示增強軟件,它可以讓農歷加入托盤區,如果聯網還能隨時預報天氣!用過此軟件的朋友可能注意到安裝目錄下沒有可執行文件,倒有一個WinKld.dll文件(大小42.5KB)。其實這個軟件就只有WinKld.dll起作用。

WinKld.dll

 借助UE提取后注冊這個DLL就相當于完成軟件的安裝。安裝UE后右鍵安裝文件選擇“UnExtract 提取文件”,將所有資源提取到任意目錄,比如D:,我們會找不到WinKld.dll,因為提取以后它變成名叫”$R0”的文件(剛好42.5KB),將名字改回來。然后運行“regsvr32 D:\WinKld.dll”,收到注冊成功的提示后重啟電腦,當鼠標懸停于托盤區時間上方時效果就出來了。想卸載時運行“regsvr32 /u D:\WinKld.dll”就行了。
  

eXeScope挖出DLL文件
  我怎么知道WinKld.dll只需注冊就能用?答案是eXeScope!eXeScope常用來編輯程序、DLL等文件中的資源,包括位圖、圖標、字符串等,通
過修改這些資源來個性化程序界面(高手還用它來漢化軟件)。這里就用來尋找可注冊使用的DLL文件。用eXeScope打開WinKld.dll(或$R0),單擊“導出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”兩行就說明此DLL需調用regsvr32進行注冊。我們可以嘗試單純用regsvr32注冊DLL文件,看能否起到和安裝軟件一樣的效果,如果不行直接反注冊。


Icesword


Icesword照出DLL的真面目
  有些軟件雖然已經裝好了,但你還是不知道它究竟需要哪些DLL,這樣就被木馬鉆了空子,它常常扮作別的軟件的DLL文件并注入進程。利用Icesword就可以查看進程調用的DLL,辨別程序文件(尤其DLL)是否可疑通常有三個依據:
  (1)位置。正常的DLL文件大多位于System32目錄和程序所在路徑,而木馬的主程序和相關DLL則可能隱藏到Windows目錄(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系統還原目錄)這些“犄角旮旯”里。
  (2)公司。很簡單,正常系統進程調用的DLL顯示公司一般為“Microsoft Corporation”或其他軟件公司,比如Adobe等,而木馬DLL在此處一般為空值,版權信息在右擊DLL文件后選擇屬性就可以看到。
  (3)時間。當系統中木馬出現運行緩慢等
問題時,可以找出上面提到的目錄下,找出最近寫入硬盤的文件,包括程序和DLL文件:先以詳細信息進行查看,再按修改日期排序,最新的文件最值得懷疑。
  清除DLL木馬的方法:打開Icesword查看“進程”,右擊explorer.exe選擇“模塊信息”,找出調用的木馬DLL再單擊“卸除”,然后刪除那個DLL。
2010-8-5 8:27:08
江苏时时彩