dll实际上是动态链接库的缩写,从windows1.0开始,动态链接库就是整个操作系统的基础,那么这有什么作用呢?在dos时代,程序员是通过编写程序来达到预期的目的的,每实现一个目的就需要编写一个程序,这样下去,简单的还好,要是复杂的程序话,那乞不是既浪费时间,又浪费青春。于是聪明的程序员们想出了一个办法,把的实现一定功能的程序模块存放在一个文件当中,以API函数形式存放在dll当中,当编写程序的时候,需要用到这个功能,那么直接从这个文件当中调用就可以了,于是就出现了dll——动态连接库。
那么动态连接库有什么作用呢?
优点之一,上面已经提过了,程序员把一些模块压入dll文件之后,在要运行程序的时候只需要调用动态链接库就可以了,而并不需要把dll加载到内存中,节省了大量的内存空间,可以方便运行其他的程序,许多朋友在关机的时候,一直关不了,整的郁闷,其实就是因为系统所调用的dll太多,导致了计算机性能的骤减,其实只需要把一些无关紧要的dll删除掉就可以了
优点之二,在一个很大的游戏中,通常需要调用许许多多的动态链接库来给玩家一个美观震撼的效果,《极品飞车9---最高通缉》让本文作者我感受到了一种从来没有感受过的感觉,那种感觉就象是初恋的味道,画面效果棒极了。可是要实现这样一个效果,需要许多程序员编写不同的dll来互相协助,那么这些dll可以用vc++,vb,Delphi,asm等等来完成,只要每个程序员负责编写一个功能,这样只要调用在一起就方便多了,节省了大量的人力,物力,财力。
既然dll有这么多好处,而且又这么方便,我那木马的程序员又做出过什么呢?他只不过
调用了系统的dll函数罢了(windwos系统中有3个非常重要dllkernel32.dlluser32.dllgdi32.dll其中包括windows系统诸多功能的函数)
呵呵,其实话不能这样说。木马的编写者也需要有很深的工夫哦,那么我们现在以黑客之门做为一个例子来看看,这个例子需要的工具depend walker,可以在黑客基地论坛黑客兵器库;fpage=1下载
我们首先来看看用depend walker打开黑客之门的动态链接库
我们发现,在左边的hkdoordll.dll下面的树状结构,显示出了黑客之门所调用的dll列表,从这里不难发现,其实dll也可以调用dll。那么dll我们可以把他看做是一个exe文件,只是少了一个入口函数而已(就暂且这样理解)
分支下有分支,而右边中间的那4个东东,这个是dll的输出函数表,在function栏目下的是输出函数的名称,因此,我们可以很容易发现,黑客之门hkdoordll.dll主要负责4个方面的任务。DllRegisterServer DllUnRegisterServer ServiceMain DllCanUnloadNow
然而这对于一个后门来说已经够了,这需要作者有足够的编程知识,我们再一次向作者致敬。分享了这样一个环保无污染的后门。
通过对上面的知识的理解。我们可以发现其实,dll可真算是一个大宝库,不要对他太狠,一看到可疑的就丢到垃圾筒里去了。其实dll文件还可以盗用哦。盗用的工具,可以在黑客基地论坛黑客兵器库;fpage=1下载
我们用他来打开黑客之门的dll,可以看到他的版权等等,对于有位图,音乐,图表,对话框的dll,我们也可以看到他里面的全部内容。我们可以修改版权,更换位图,更换音乐,更换对话框,总之只有你想不到的,没有你做不到的。
那么既然dll被这样多程序调用,如果结束掉这个木马后门dll的调用过程,那么这个后门是不是没用啦,那回答当然是肯定的,那么如何知道DLL文件被几个程序使用呢?
我们只需要:
运行Regedit,进入HKEY_LOCAL_MACHINE\Software\Microsrft\Windows\Current-
Version\SharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
嘿嘿,这下知道window优化大师那分析dll的原理了吧。
在黑客基地论坛的新手学堂里,经常看到有人求助:我的搜索栏什么也不能显示了,怎么办啊?如图
其实那是因为dll没有注册造成的。
只需要在开始---运行—然后注册两个dll然后重新启动就可以了,具体方法是
regsvr32 vbscript
regsvr32 jscript
当你看到跳出个对话框,里面写着,vbscript 中的dllregister server成功的时候,说明已经注册成功了
什么?还要注册?或许你看到这里开始疑问了,这什么注册啊?是不是象进入一个论坛,需要注册一个帐号才能进入一样呢?
其实系统里面的dll是分为两类的。一类是需要注册的,一类是不需要注册的。
大多数都是通过命令regsvr32来注册的。而windows为了减少所调用的dll的数量,提升计算机的性能以及速度。通常只把几个重要的dll默认就注册了,不常用的dll需要你自己去注册。而注册之后,系统就可以调用他了,从而具有了相应的功能。
而当你认为你的计算机所调用的无用dll太多的时候,可以通过命令regsvr32 /u dll的名称来反注册。
有些朋友的爱机会出现这样的情况,在启动的时候,错误对话框中提示DLL文件丢失
这是因为在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库。现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧!
初窥门径:Windows的基石
随便打开一个系统目录,一眼望去就能看到很多扩展名DLL的文件,这些就是经常说的“动态链接库”,DLL是Dynamic Link Library(即“动态链接库”)的缩写。从Microsoft公司推出首个版本的Windows以来,动态链接库就一直是这个操作系统的基础。
1.看看DLL里有什么
与其用晦涩的专业术语来解决DLL是什么,不如先来看看DLL里有什么。DLL和EXE文件一样,其中包含的也是程序的二进制执行代码和程序所需的资源(比如图标、对话框、字符串等),可是为什么要把代码放在DLL里面,而不是做成EXE呢?其实DLL中的代码是以API函数形式出现的,通俗地说,DLL中包含的程序代码都被做成了一个个小模块,应用程序通过按下所需DLL中特定的按钮,来调用DLL中这个按钮所代表的功能。在使用“记事本”等程序时,如果要保存文件或打开文件,就会弹出通用文件对话框,选择文件位置。你可知道,这就是调用了系统底层DLL中的通用对话框界面。
2.系统中几个重要的DLL
Windows中有3个非常重要的底层DLL:Kernel32.dll、User32.dll、GDI32.dll。其中Kernel32.dll顾名思义就是内核相关的功能,主要包含用于管理内存、进程和线程的函数;而User32.dll中包含的则是用于执行用户界面任务的函数,比如把用户的鼠标点击操作传递给窗口,以便窗口根据用户的点击来执行预定的事件;GDI32.dll的名称用了缩写,全称是Graphical Device Interface(图形设备接口),包含用于画图和显示文本的函数,比如要显示一个程序窗口,就调用了其中的函数来画这个窗口。
3.为什么要用DLL
刚才在谈到这个问题的时候,只解释了DLL将程序代码封装成函数的原理。为什么封装成函数,就能成为系统中大量使用DLL的理由呢?
①扩展应用程序
由于DLL能被应用程序动态载入内存。所以,应用程序可以在需要时才将DLL载入到内存中,这让程序的可维护性变得很高。比如QQ的视频功能需要升级,那么负责编写QQ的程序员不必将QQ所有代码都重写,只需将视频功能相关的DLL文件重写即可。
②便于程序员合作
这个和最终用户关系不大,仅供了解。大家都知道编程工具有很多,比如VB、VC、Delphi等,如果好几个人合作来编写一个大的程序,那么可能有的人用VB,有的人用VC,每人负责的部分所使用的编程语言都不同,究竟放在哪个编译器中进行编译呢?这就好比一群来自各个国家的人在共同编写一篇文章,如果他们所使用的语言都不同,写出来的文章怎么可能凑到一起呢?而有了DLL后,可以让VC程序员写一个DLL,然后VB程序员在程序中调用,无需为怎么将它们都编译为一个单独的EXE而发愁了。
③节省内存
如果多个应用程序调用的是同一个动态链接库,那么这个DLL文件不会被重复多次装入内存中,而是由这些应用程序共享同一个已载入内存的DLL。就好比一个办公室中,很少会为每一个员工配置一台饮水机的,而是在一个公共位置放上一个饮水机,所有需要喝水的职员都可以共用这台饮水机,降低了成本又节约了空间。
④共享程序资源
包括刚才提到过的通用文件对话框在内,DLL文件提供了应用程序间共享资源的可能。资源可以是程序对话框、字符串、图标,或者声音文件等。
⑤解决应用程序本地化问题
在下载了某个程序的汉化包后,打开汉化说明,经常可以看到用下载包中的DLL文件覆盖掉程序原来的DLL,汉化就完成了。这些程序都是将执行代码和应用程序界面分开编写了,所以汉化者只需简单地将其中和程序界面相关的DLL汉化并发布即可。
求知若渴:探究DLL的真相
谁知道DLL里究竟有多少函数,又有谁知道EXE调用了哪个DLL的哪些函数?其实,这个问题并不难解决。分析EXE文件的工具Dependency Walker(以下简称Depends,点击下载Dependency Walker),今天它就是大家探险的工具,把DLL真相探个通通透透。
1.看看DLL里有多少函数
第一步:下载并解压Depends,运行其中的depends.exe,然后选择菜单“File→Open”(文件→打开),在文件选择框中选中需要分析的DLL文件并打开,此处选择QQ目录下的QQZip.dll。
第二步:在程序左侧的树状栏中就列出了这个DLL使用了哪些其他DLL的功能函数(原来DLL中还可以调用其他DLL^O^),而右侧的两个分栏列表分别显示了函数输入及输出表,函数输出表即为该DLL提供给其他EXE或者DLL调用的函数的总列表。
第三步:函数输出表的Function栏中即为输出函数的名称(见图1),在QQZip.dll中共发现了2个函数:Unzip、Zip。因此可以判断该DLL在QQ程序中负责压缩和解压缩的任务。
图1 QQZip.dll中的函数
2.审审EXE究竟用了哪个DLL
还是拿QQ来作为例子,在Depends中打开QQ.exe,这时界面左侧的树状列表中显示的就是QQ.exe调用的DLL列表(见图2),如果展开这些DLL分支,还会发现其他的DLL,这就说明QQ调用的这些DLL文件还有可能(几乎是肯定)再调用别的DLL。这就好比买了一台新的DVD机,可能其中用的机芯是SONY的,而这个机芯里的一个小电容又有可能是别的公司的,这是同样的道理。
图2 QQ.exe所调用的dll
3.用DLL看穿EXE真面目
刚才得到了QQ.exe所使用的DLL列表,其实通过这个列表,还能分析出很多别的信息。比如其中包含MFC42.dll,所以可以判断QQ.exe是采用VC(即Visual C++)编写的,而包含WSOCK32.dll则说明这个程序带有网络通讯功能(废话!QQ如果不能网络通讯还有什么用……)。以下是一个简表,大家在分析别的EXE时可以根据其所使用的DLL来对其功能进行初步判断。
DLL文件名 可以判断出的EXE信息
MFC42.dll 使用VC5.0/6.0编写。
VBRun*.dll “*”代表数字版本号,使用VB3.0/4.0编写。
MSVBVM50.dll 使用VB5.0编写,在Windows 98(SE)上自带该DLL。
MSVBVM60.dll 使用VB6.0编写,在Windows Me/2000/XP等系统上自带该DLL。
ADVAPI32.dll 可能会进行注册表操作。
WSOCK32.dll 具备网络通讯功能。
WS2_32.dll 具备网络通讯功能。
WININET.dll 具备HTTP浏览、下载等功能,典型的例子是浏览器、下载工具。
WINMM.dll 具备多媒体播放能力。
DDRAW.dll 游戏、高级图像处理工具。
D3D*.dll 3D游戏,或者动画处理工具。
4.DLL是个大宝库
除供应用程序调用函数的DLL外,还有另一种用来保存资源的DLL,比如QQ目录下的QQRes.dll,用Depends打开后发现没有任何输出函数,难道是一个鸡肋DLL?可是改用资源工具Resource Hacker(下载地址:)打开这个DLL后,就发现原来其中保存了这么多QQ的资源,包括图标、音乐、图片、字符串、对话框……(见图3)
图3 dll文件中包含的其他资源
刨根问底:DLL的寓言
DLL引起的故障是很常见的,为什么会引起故障?遇到故障怎么解决?嘘~偷听一下DLL的对话,你就会明白了。
1.从搬运工谈接口兼容性
在Windows工地上,有一个名叫EXE的包工头,他手下有很多称为DLL的建筑工人。其中有一个专门负责搬运的DLL(暂且称为“搬运工A”),每次需要搬运水泥时,包工头EXE都只要对他喊一声:“来!搬。”
过了一段时间,搬运工A觉得自己的效率太低,于是从原来的每次搬1袋水泥改成了每次搬3袋水泥。改进了搬运方法后,EXE包工头仍然每次只是喊一声:“来!搬。”却不知搬运工A已经改变了搬运的方法。
但又过了一段时间,包工头EXE把搬运工A给辞退了,从别的工地上找来了另一个DLL(暂且称为“搬运工B”)。这个搬运工在别的工地的时候,搬运东西特别快,所以包工头EXE决定把搬运工作给“升级”一下。但真正开始工作时,包工头才发现出了问题……现在不管叫几遍“来!搬。”这个新来的搬运工B都不知道究竟应该搬什么。
上面的例子中,搬运工A改进搬运方法,但EXE调用它的方法仍不变,这就是DLL升级的原理,改进了内部的实现方法,但调用接口不变,这样EXE文件不用跟着升级,就能调用新版本的DLL了。而搬运工B的故事说明,不管新版本的DLL效率多高,如果接口(可以理解为DLL中输出的函数名)与原来的不一致,那么EXE就不知道也无法调用它了。
2.登记身份证的DLL
在系统故障中,有很多都是由于DLL文件没有注册造成的,比如Windows XP的压缩文件夹功能出现故障就很有可能是系统目录中的zipfldr.dll没有注册造成的,这类故障的解决方法也大多是运行如下命令:
regsvr32 DLL文件名
很多人不理解为什么要这么做,是不是所有的DLL都能这样做呢?
其实系统中有两种DLL,一种是不需注册即可使用的,另一种则是必须经过系统登录(即注册)才能使用的。就好像一个临时工,和一个记录在员工名单上的长期合同工的区别一样。如何才能区分这两种DLL呢?方法很简单,用刚才的Depends打开这个DLL,同样是看函数输出表,如果其中包含以下两个函数(前者是注册DLL,后者是反注册DLL),那么就一定是需要注册才能使用的DLL了。
DllRegisterServer
DllUnregisterServer
而regsvr32这个命令,实际上就是调用DLL中的这两个函数(“regsvr32 /u DLL文件名”调用的即为DllUnregisterServer反注册函数)。
3.插件DLL的秘密
Winamp、Foobar 2000等很多软件都具有插件功能,从网上下载一个DLL放在插件目录下就能让程序支持新的功能,这是怎么做到的呢?就拿时下流行的播放软件“千千静听”来举例吧。
“千千静听”的插件目录在该软件安装目录下的Addin子目录下,程序的插件目录一般都会以“Plugins”、“Addin”来命名。在“千千静听”的插件目录中有许多DLL文件,比如tt_asf.dll、tt_rm.dll等,从文件名中就能看出这些DLL是用来让这个播放器支持各种不同类型的音频文件的。同样,用Depends打开这些文件,你就会发现这些文件的输出函数表中都包括一个同样的函数:ttpGetSoundAddIn(见图4)。
图4 千千静听所使用的插件协议
这就是插件的秘密,各种支持插件功能的程序在发布时,都会同时发布一份插件协议,协议中规定了该程序将要调用的插件DLL中必须包含的函数名称及相关的参数规则,然后第三方的插件程序员在编写这个程序的插件时就根据这个插件的标准来编写DLL的输出函数。
①对于插件tt_asf.dll
ttplayer.exe(“千千静听”主程序)对tt_asf.dll说:“我要调用你的ttpGetSoundAddIn函数!”
tt_asf.dll回答:“OK。”
②如果把不相关的DLL放进AddIn目录
ttplayer.exe对未知DLL说:“我要调用你的ttpGetSoundAddIn函数!”
tt_asf.dll回答:“那是什么函数?从来没听说过!”
conime到底是什么?
议题提交:sunwear [E.S.T]
信息来源:邪恶八进制信息安全团队()
由于经常浏览一些病毒论坛,所以看到了一个有意思的事。
很多人问conime.exe是什么进程,而大部分人会参照国内外网上的进程描述,说是病毒并教他们怎么结束他。
大家都知道在运行cmd.exe之后进程中会出现一个conime.exe的进程。
网上的关于进程的描述不管是国内还是国外都说他是个病毒……
当然也许病毒和他重名,但是不能一概而论吧?
有人说conime.exe是cmd.exe的子进程。
我现在来仔细查看一下conime。
在这里sunwear用的是KD,察看一下conime.exe的eprocess的InheritedFromUniqueProcessId 是否是cmd.exe的eprocess的UniqueProcessId
如果是的话,那能说明conime.exe是cmd.exe的子进程。那我们来看看。
PROCESS 817217c0 SessionId: 0 Cid: 04dc Peb: 7ffdf000 ParentCid: 032c
DirBase: 1558f000 ObjectTable: 8170d168 TableSize: 18.
Image: conime.exe
PROCESS 81733460 SessionId: 0 Cid: 038c Peb: 7ffdf000 ParentCid: 02f8
DirBase: 056a1000 ObjectTable: 81692288 TableSize: 22.
Image: cmd.exe
然后察看一下conime.exe的eprocess
nt!_EPROCESS
..................
+0x09c UniqueProcessId : 0x000004dc
..................
+0x1c8 InheritedFromUniqueProcessId : 0x0000032c
..................
conime.exe的进程ID是0x000004dc。父进程是0x0000032c
我们在来看看cmd.exe
nt!_EPROCESS
..............
+0x09c UniqueProcessId : 0x0000038c
..............
也就是说conime.exe并不是cmd.exe的子进程。
而conime.exe的父进程ID 并没有在任务管理器中
从名字上看conime.exe是跟输入法有关的。的确他就是处理控制台输入法相关的一个程序。
我们可以做个试验。首先我们运行cmd.exe,然后用ctrl+shift切换输入法,可以切换吧?
我们用任务管理器把conime结束掉,然后在试试?结果如何?
我觉得如果要写解释的话 一定要给出ms的原始程序的作用.它是windows操作系统的中的正常进程。可以在附加解释中说明有些病毒与他同名。
就像service explorer svchost 等等一样。如果他们被病毒付身(屡见不鲜)。那么进程描述该写什么呢?写service explorer svchost 都是病毒么?在这里真要为conime.exe喊冤了。
conime.exe是Console IME的缩写 也就是IME控制台
本身是正常的 启动cmd的时候他会跟着启动 他的作用最典型的一个就是就控制命令行下的输入法
你可以先启动cmd 然后在命令行窗口下 按ctrl+space就会看见命令行下的中文输入发被调了出来
现在你在任务管理器里结束conime.exe进程 再想使用命令行下的中文输入法看看...
另外 目前来看conime.exe必须有cmd或者其他程序执行 直接执行conime.exe是不会成功的 比如如果你杀掉后再次执行conime.exe后 查看任务管理器 会发现根本没有conime.exe进程
在正常的文件没被替换的情况下 随便臆测它已经是病毒或者是特络伊服务端是完全是不科学的
为什么有的人把他说成是后门 木马 病毒呢?他们的说法也很主观
因为黑客之门1.0的测试中 在例子里有这么一步
rundll32 hkdoordll,DllRegisterServer conime.exe 1
但是也只是只感染进程 而不感染系统文件 机器重启或进程退出后门也就退出了 但是上述仅仅是作者提供的例子 事实上1.0版的黑客之门默认感染进程是services.exe
综合上面的资料 conime.exe是系统自己的进程 如果被感染了木马 也是使用者自己用机不当造成的
《地狱黑客》百度网盘txt 最新全集下载
链接:
提取码:lp7g 身为间谍的超级黑客萧云飞命丧国家机器强大的军事力量下,他的魂魄被一股神秘力量束缚到地府,然而他却惊讶的发现,地府与传说中的地府相差甚远。
《地狱黑客 》百度网盘txt 最新全集下载;
链接:
提取码:cdh1
《地狱黑客》是鲸鱼阅读原创都市传奇小说,作者一语惊人。
剧情吧工夫 : 二0 一 六-0 一- 二0 0 九: 五 五:00 长帅第 一散剧情先容 小教良肇事 多多 弛做霖狠口学训 长帅弛教良兵马 平生 ,活了一百明年 ,早年正在美国夏威夷渡过 。当他远望 着这一马平川的年夜 海时,恍如看到了本身 从一个小毛孩成少为长帅的行程。 弛教...
// 检测MySQL办事 function getMysqlVersion(){if (extension_loaded( 三 九;PDO_MYSQL 三 九;)) {try {$dbh = new PDO( 三 九;mysql:host= 一 九 二. 一 六 八. 二. 一0 三;port= 三...
跟着 人们的松凑生涯 ,进行互联网止业的人年夜 多皆把一地的空儿支配 的谦谦的,那用户劳碌 的时刻 ,基本 无意来存眷 您的拉广,只要捉住 了用户整零星 碎的空儿 对于其入止拉广,异时他也能挨领无聊赖的空儿,如许 的后果 便异常 沉紧,上面,尔联合 案例去为年夜 野分享一高,若何 捉住 用户碎片空儿...
相应 空儿是指体系 对于要求 做没相应 的空儿。曲不雅 上看,那个指标取人 对于硬件机能 的客观感触感染 长短 常一致的,由于 它完全 天记载 了零个计较 机体系 处置 要求 的空儿。因为 一个体系 平日 会提求很多 功效 ,而分歧 功效 的处置 逻辑也千差万别,果而分歧 功效 的相应 空儿也没有...
一、带去流质网站的流质。二、否以提下原站的无名度。三、提下各年夜 搜刮 引擎 对于原站的权重。以上 三点是胜利 的友情链交否以到达 的后果 。作甚 胜利 ,作甚 掉 败呢?1、链交的网站取原站内容出有所有接洽 ,起到感化 也便没有年夜 。2、链交的网站未被搜刮 引擎增除了,则 对于原站会有很年夜 的...
正在盘算 开辟 一个网站时,抉择甚么说话 ,是起首 须要 面临 的答题。今朝 支流的WEB开辟 说话 有ASP.NET、PHP、JSP; 做为MS上世纪宿将 ASP,便没有再说起 ,假如 是由于 保护 圆里的缘故原由 而必需 运用,否斟酌 进级 到ASP.NET,而做为新开辟 一个说话 ,其实 找没...