有木有人知道如何读取DLL文件呀？

咋地办哩

要看到里面内容的，不是调用


[ 本帖最后由 咋地办哩 于 2012-3-28 00:35 编辑 ]

大饼

dll文件都是编译好的binary文件,你想用ultraedit或其他编辑器打开看里头每个byte的ascii码?

[ 本帖最后由 大饼 于 2012-3-21 22:54 编辑 ]

混不到坑的萝卜

reflector for .Net DLL

[ 本帖最后由 混不到坑的萝卜 于 2012-3-21 22:00 编辑 ]

NoChoice

不知道你要怎么看到里面内容，输出函数，明文，资源文件。。。
不同语言编译出来的dll也不一样

咋地办哩

原帖由 大饼 于 2012-3-21 22:53 发表
dll文件都是编译好的binary文件,你想用ultraedit或其他编辑器打开看里头每个byte的ascii码?

哦，那能否查到一个程序调用了该DLL的哪部分代码或数据？

luyq

试试IDA Pro吧，里面有个export viewer不知是不是你想要的。

咋地办哩

分撒完了，白条
看说明好像这个不错

NoChoice

如果有兴趣，可以用OllyDB,不过要有过硬的win32汇编基础
如果是.net，就用上边说的reflector就可以搞定

咋地办哩

算了，看到要过硬的技术我就怂了，只求能抽到想要的内容而已

fatfish_cc

是的，用ollydbg或者IDApro看看export table...

fatfish_cc

还有很多小软件可以看。。。比如PE explorer之类

菜地一块

DLL的作用之一就是能够帮助程序员和公司保守住公司的秘密，要像源代码一样去“查看”DLL是不可能的。
1、DLL中可以仅包含一些文字、图片等资源文件，供程序调用。这种DLL比较简单。
2、DLL可以导出一些函数和类。可以通过VS自带的工具dumpbin.exe 并接-exports参数来进行查看它的输出节。
3、DLL还可以从其他DLL引入函数和类。可以用dumpbin.exe接-imports参数来查看它的输入节。
当然类似的工具还有很多。
以下是我机器上随便找的一个DLL的-exports的内容。可以看到它导出了4个函数：
DllCanUnloadNow
DllGetClassObject
DllRegisterServer
DllUnregisterServer
（当然也顺便看出这个DLL应该是一个COM控件，不过这个是题外话了）

DLL的话题可以看一下Jeffrey Richter的《Windows核心编程》，里面有两张是专门讲DLL的
====================================================================

C:\Program Files (x86)\Microsoft Visual Studio 10.0\VC>dumpbin -exports c:\windows\xinstaller.dll
Microsoft (R) COFF/PE Dumper Version 10.00.40219.01
Copyright (C) Microsoft Corporation.  All rights reserved.


Dump of file c:\windows\xinstaller.dll

File Type: DLL

  Section contains the following exports for xoli.DLL

    00000000 characteristics
    4D8311B0 time date stamp Fri Mar 18 19:02:56 2011
        0.00 version
           1 ordinal base
           4 number of functions
           4 number of names

    ordinal hint RVA      name

          1    0 00002DF2 DllCanUnloadNow
          2    1 00002DFE DllGetClassObject
          3    2 00002E18 DllRegisterServer
          4    3 00003807 DllUnregisterServer

  Summary

        3000 .data
        3000 .rdata
        1000 .reloc
        1000 .rsrc
        9000 .text

C:\Program Files (x86)\Microsoft Visual Studio 10.0\VC>

咋地办哩

PE、IDA都不会用
reflector倒是找到疑似储存密钥的地方
也太强悍了吧……

bb33

原帖由 咋地办哩 于 2012-3-27 21:50 发表
PE、IDA都不会用
reflector倒是找到疑似储存密钥的地方
也太强悍了吧……

reflector現在要錢了吧

咋地办哩

30天试用

bb33

原帖由 咋地办哩 于 2012-3-27 21:55 发表
30天试用

我忘了还可以试用

咋地办哩

30天，穷鬼压力很大
口碑不错的IDA居然打不开，还花了不少分下载呢

飞翔翼

原帖由 咋地办哩 于 2012-3-21 23:05 发表

哦，那能否查到一个程序调用了该DLL的哪部分代码或数据？

这个要看是动态链接还是静态链接，静态的话用VS自带的depends就可以看到了，动态是通过LoadLibrary后再找函数Address的方式，估计只能用字符串搜索了。

咋地办哩

(monkey08) 要不要发个附件上来解解闷

NoChoice

原帖由 咋地办哩 于 2012-3-27 23:51 发表
(monkey08) 要不要发个附件上来解解闷

好啊，让大家解解闷

咋地办哩

(monkey09) 正用手机上网，到了家先

咋地办哩

(monkey09) 添了文件上來了

NoChoice

里面有些经过混淆处理的，有些没有

这个是? HID Global...

[ 本帖最后由 NoChoice 于 2012-3-29 23:38 编辑 ]

交易人生

这种事情基本可以放弃了。

不知道Lz的目的是什么?要workaround.

红烧鸡翅

dll分很多种,

咋地办哩

原帖由 NoChoice 于 2012-3-28 10:02 发表
里面有些经过混淆处理的，有些没有

这个是? HID Global  

求图，求过程

[ 本帖最后由 咋地办哩 于 2012-3-31 00:54 编辑 ]

菜地一块

你这个DLL没有导出任何函数或类。应该是一个简单的资源DLL。
===========================
c:\code>dumpbin -exports iCLASSCardLib.dll
Microsoft (R) COFF/PE Dumper Version 10.00.40219.01
Copyright (C) Microsoft Corporation.  All rights reserved.


Dump of file iCLASSCardLib.dll

File Type: DLL

  Summary

        2000 .datax
        2000 .idata
        2000 .reloc
        2000 .rsrc
        6000 .textxc

菜地一块

原帖由 飞翔翼 于 2012-3-27 23:35 发表

这个要看是动态链接还是静态链接，静态的话用VS自带的depends就可以看到了，动态是通过LoadLibrary后再找函数Address的方式，估计只能用字符串搜索了。

不是的。静态还是动态连编制是客户（使用DLL的用户）加载DLL的方式。跟能不能看到内容什么的没有关系。 详情可参见《WINDOWS 核心编程》。

咋地办哩

对对对，应该是储存一些数据的

咋地办哩

补充一下，按文献记载，这数据还是”unprotected“的