波哥

查看并提取DLL中所包含的资源

如果需要提取D L L 文件中图片、图标、版本或版权信息等，用Redwood软件就能很容易做到（http：//www.the-sz.com/products/redwood/Redwood.zip）。该软件只有一个EXE文件，直接运行即可启动。它还能提取OCX、EXE、CPL或其他类型文件中的资源。

启动软件之后，先选择需要处理的DLL文件（或其他文件），例如“C：＼Windows＼System32＼shell2.dll”，然后点击“打开”按钮（图1）。

随后，会以目录树的形式显示上述打开的文件中所包含的各种资源。从左侧的目录树中选择要浏览的资源，例如某个图标，点击“Extract”按钮，即可将该资源保存下来（图2）。

除了图标、光标、图片外，此类文件中还会包含其他信息。例如，在shell2.dll中所包含的最后一组资源的“RT_VERSION”分支中，就可以获得该程序的版本、版权等信息（图3）。

浏览DLL并查明哪个进程使用它

有时，系统遇到故障时会报告某个DL L文件出现问题，可是我们又不知道哪个软件正在使用该DLL文件。

那该怎么办呢？其实，只需利用绿色软件LoadedDllsView（http：//www.nirsoft.net/），就能很快地查明。

运行该软件，它会自动扫描系统中所有正在运行的进程，并显示这些进程加载的所有DLL文件的列表及数量。从窗口上端的列表中选择需要查看的DLL文件，下端的窗格中随即就会显示调用该DLL文件的进程。例如，本例中系统一共扫描出1674个DLL文件被加载，在上端的窗格中选中的askFS.dll文件，下端的窗格中会显示它为QQ.EXE文件所调用（图4）。这样就能探明其来源了。

在列表中的DLL文件上单击鼠标右键，然后选择“HTML Report - Selected Items”，可以将选中的DLL与进程的关系保存为报告文件。如果选择“HTMLReport - All Items”，则可以将所有条目的关系保存为报告文件（图5）。

我们还可以根据需要，选择只显示3 2位或6 4位的DLL文件于列表之中。要完成这项筛选，只需依次点击“Options→Show 32-bit DLLs”或“Options→Show 64-bit DLLs”即可。此外，如果选择了“ShowOnly Non-Microsoft DLLs”，则只显示Microsoft自帶的DLL（图6），这样可以排除外部软件DLL文件的影响而仅对系统自带的DLL进行分析。

通过DLL分析系统潜在的威胁

希望分析DLL中潜在威胁的高级用户，可以借助SpyDllRemover软件（http：//securityxploded.com/）。该软件也是便携软件，解包后直接运行。

启动该软件后，点击“Start Scan”按钮，它会自动扫描正在运行的进程并显示可能存在威胁的项目（图7）。之后，点击“Kill Process”按钮，便可以杀掉选中的危险进程。

如果希望进一步验证某个可疑的进程，可以右击该进程，然后依次选择“Scan Oneline →ProcessLibrar y”，进入在线进程库搜索，并根据网上给出的参考信息进行综合判断（图8）。

该软件还包含一个进程查看器“ ProcessViewer”，可以用颜色自动突出显示可疑的进程;以及一个跟踪D L L 文件相关进程的工具“DLLTracer”。