kowala's home

kowala's home
這裡是我的學習筆記,陸續增加中。
http://kowala21.blogspot.com

2012-06-21

tools 檢查特定程序載入了哪些DLL

若我們想要了解系統裡哪些程序正在跑,或是某隻特定程序它呼叫了哪些DLL,就可以使用本工具來查看,本工具提供的訊息包括呼叫者的 PID、Process,DLL的 Base、EntryPoint、size、Path 及 FileName 。

使用說明:
先開啟 "工作管理員" (TaskManager)。


可以看到很多執行中程序,我們來查看 firefox.exe 用了哪些 dll,可以透過批次檔來完成。
先下載 LookUseDlls.rar 解壓縮後,在同一個目錄下,開一個文件 seeusedlls.bat,輸入以下內容。



參數說明
LookUseDlls -[s|l] [filename]

     -s = short name (filename only)
     -l  = Long name (path+filename)
     filename = which exe do you want to check.

Example:
LookUseDlls -l firefox.exe > pids.txt
     check firefox.exe use dlls and turn in to pids.txt
LookUseDlls -s explorer.exe >> pids.txt
     check explorer.exe use dlls and append into pids.txt
LookUseDlls >> pids.txt
      no param is use the default setting that is -s to show all PID's dlls.
LookUseDlls -l >> pids.txt
      show all PID's dlls by long name (path+filename).


點兩下批次檔 seeusedlls.bat,會看到以下結果。


 這可以用來檢查看看有沒有奇怪的程序或DLL藏在其中,也許能查出木馬藏身處:O
當然,也可以看本程式使用的DLL :-)

  PID   proc      Base    EntryPoint   size    FileName
----- ------- ---------- ---------- -------- -----------
01300 0x00030 0x00400000 0x0040126C   110592 C:\Users\k320\Desktop\LookUseDlls.exe
01300 0x00030 0x77CA0000 0x00000000  1294336 C:\Windows\SYSTEM32\ntdll.dll
01300 0x00030 0x772E0000 0x773310C5   868352 C:\Windows\system32\kernel32.dll
01300 0x00030 0x76050000 0x76057A9D   303104 C:\Windows\system32\KERNELBASE.dll
01300 0x00030 0x75DC0000 0x75DD45EE   212992 C:\Program Files\AVAST Software\Avast\snxhk.dll
01300 0x00030 0x77B90000 0x77B9A472   704512 C:\Windows\system32\msvcrt.dll
01300 0x00030 0x76EA0000 0x76EA1438    20480 C:\Windows\system32\PSAPI.DLL
--------------------------------------------------------
LookUseDlls.exe use dlls counts: 6


在不下任何參數的條件下,預設值會秀出全部的程序及使用的DLL,可以看到每個都有這行,這行是防毒程式把程序截了過去。

01300 0x00030 0x75DC0000 0x75DD45EE   212992 C:\Program Files\AVAST Software\Avast\snxhk.dll

防毒程式只能比對程式碼,找已知的病毒樣本,或特徵,但新的病毒可能就要自己找了,我功力不夠,還看不出所以... XD

聽說 Google 有提供雲端 HD ,來試試看好不好用,這樣就不用到處找空間放了 = =

下載 LookUseDlls.rar

https://docs.google.com/open?id=0B9_qAWWvUIuUS0FyUGxOR0EyN0k

另一個載點

https://www.dropbox.com/s/j8unsw3e9gavuy7/LookUseDlls.rar





參考資料
ListDLLs ,這是微軟併購公司的產品,免費下載,也是查看DLL的工具。
http://technet.microsoft.com/en-us/sysinternals/bb896656



1 則留言:

請提供您的寶貴意見 ;-)