|
软件是不是只有安装了才能用?当然不是,我们有绿色软件,那么有安装程序的软件是不是必须安装了才能用呢?也未必,有很多软件直接提取文件后就能用了,这样不但能使软件“绿”起来,还能防止木马或流氓软件通过捆绑等方式溜进系统。 请来几位助手 Universal Extractor(简称UE): Universal Extractor 1.3.1 汉化版:http://www./soft/15/15904.htm eXeScopE: eXeScope 6.50 简体中文版:http://www./soft/32/32818.htm Icesword: 冰刃 IceSword 1.20 中文版http://www./soft/29/29429.htm 小知识——进程、驻留、DLL文件 可执行文件运行后,在系统中就增加了一个进程,它将运行所需的代码、资源都载入内存。有些软件为了实现监控等功能,从开机后就开始驻留内存,比如防火墙软件。DLL文件是封装起来的单独的可执行模块,供EXE调用其功能,或者作为EXE的基础支持。 农历、天气预报,WinKld.dll全都有 “Windows日历”是一个Windows时间显示增强软件,它可以让农历加入托盘区,如果联网还能随时预报天气!用过此软件的朋友可能注意到安装目录下没有可执行文件,倒有一个WinKld.dll文件(大小42.5KB)。其实这个软件就只有WinKld.dll起作用。  [url=javascript:;]下载 (31.37 KB) 2008-5-16 23:39 WinKld.dll 借助UE提取后注册这个DLL就相当于完成软件的安装。安装UE后右键安装文件选择“UnExtract 提取文件”,将所有资源提取到任意目录,比如D:,我们会找不到WinKld.dll,因为提取以后它变成名叫”$R0”的文件(刚好42.5KB),将名字改回来。然后运行“regsvr32 D:\WinKld.dll”,收到注册成功的提示后重启电脑,当鼠标悬停于托盘区时间上方时效果就出来了。想卸载时运行“regsvr32 /u D:\WinKld.dll”就行了。 eXeScope挖出DLL文件 我怎么知道WinKld.dll只需注册就能用?答案是eXeScope!eXeScope常用来编辑程序、DLL等文件中的资源,包括位图、图标、字符串等,通过修改这些资源来个性化程序界面(高手还用它来汉化软件)。这里就用来寻找可注册使用的DLL文件。用eXeScope打开WinKld.dll(或$R0),单击“导出→WinKld.dll”,右窗格有“DllRegisterServer”、“DllUnRegisterServer ”两行就说明此DLL需调用regsvr32进行注册。我们可以尝试单纯用regsvr32注册DLL文件,看能否起到和安装软件一样的效果,如果不行直接反注册。 [url=javascript:;]下载 (41.5 KB) 2008-5-16 23:39 Icesword Icesword照出DLL的真面目 有些软件虽然已经装好了,但你还是不知道它究竟需要哪些DLL,这样就被木马钻了空子,它常常扮作别的软件的DLL文件并注入进程。利用Icesword就可以查看进程调用的DLL,辨别程序文件(尤其DLL)是否可疑通常有三个依据: (1)位置。正常的DLL文件大多位于System32目录和程序所在路径,而木马的主程序和相关DLL则可能隐藏到Windows目录(包括System、System32、Temp、Prefetch)、回收站、“System Volume Information”(系统还原目录)这些“犄角旮旯”里。 (2)公司。很简单,正常系统进程调用的DLL显示公司一般为“Microsoft Corporation”或其他软件公司,比如Adobe等,而木马DLL在此处一般为空值,版权信息在右击DLL文件后选择属性就可以看到。 (3)时间。当系统中木马出现运行缓慢等问题时,可以找出上面提到的目录下,找出最近写入硬盘的文件,包括程序和DLL文件:先以详细信息进行查看,再按修改日期排序,最新的文件最值得怀疑。 清除DLL木马的方法:打开Icesword查看“进程”,右击explorer.exe选择“模块信息”,找出调用的木马DLL再单击“卸除”,然后删除那个DLL。 |
|
|
