怎么样尽可能地分析出一个 dll 文件的有用信息？

基本上和分析可执行文件一样。有壳先脱壳，常见的壳，可以网上找找看脱壳机，不过很多脱壳机都内嵌病毒，使用的时候要小心。壳不常见，那就只能自己分析，手动脱壳，脱壳简单的简单死，麻烦的麻烦死，有时候生不如死，就不展开了。dll有可能是托管的，那就操起.NET Reflector或ILSpy反编译一下，幸运的话，代码就基本出来能看了，不幸运的，代码是混淆过的，生不如死，容我离开一会。回来发现不懂IL啊，改不动，装上reflexi插件，改的飞起。这时才想起来，我只是想提取个图标和图片而已，找到资源区，导出搞定。dll是原生的，对了，提取资源的话，ResHack足以。不行，我要破解，我想提取算法，那就找出江湖流传已久的免费神器odbg，发现耍不来，找来找去，还是上古神器IDA靠谱，可惜要钱，钱我给的起，奈何老婆不让给，怒而破解之，!@#$%^&，卒~~~。被救醒后，只能退而求其次，弄个已破的老版本耍耍，没想到中了CryptLocker，积累的代码，下载的书籍，包括1T的爱情动作片，全部转化为别人的资产，要求bitcoin赎取，￥￥……￥，悲伤过度，￥￥￥￥，卒~~~。上段为演绎的真实情节，总之伤心往事太多，楼主引以为鉴。有了IDA，就好说了，静态反编译，看看导出表，查查导入表，浏览下字符串表，寻找各种线索。如果是C++编译的代码，装个扫描RTTI的插件，如果编译时有开RTTI的话，可以找到很多类层次结构信息，慢慢的观察汇编，找些资料学习编译链接的知识，找出代码到汇编的常用pattern，反过来从汇编推回代码，然后从代码的意图推测出函数的功用，做好标注，回头再按自己的思路优化重整代码，尽管没办法完全恢复代码原样。遇到没办法理解反推的地方，就用顶楼的方法，或自己写个简单的exe，LoadLibrary，GetProcAddress动态调试下，当中又会碰到很多奇葩的难题，各种反调试措施呀，等等，想办法解决或绕过它们。就这样，日复一日，年复一年，慢慢的，慢慢的，把所有函数都标注出来，当然最后的结果就是

1、一般我会先看导入表和字符串表，根据这两个大致可以猜到这个程序的大部分功能比如导入表里有send、recv、sendto之类的函数，那多半会有网络操作；CreateProcess和CreatePipe、ReadFile、WriteFile同时出现，可能会反弹shell等等，字符串表也是同理。当然这个方法并不准确，完全可以不通过导入表，并且加密字符串来调用各种API，所以一般还要结合下面的步骤一起2、看导出表DllMain函数和ServiceMain函数是入口函数，dll被加载时就会自动调用的(ServiceMain是服务的入口函数)其他的导出函数分析完Dll的导出函数基本上就可以确定出一个DLL的功能了，但是同样可以不通过导出表去调用Dll中的函数，能不能调用一个函数的关键在于能不能找到这个函数的地址，导出表的作用就是帮助调用者找到内部函数的地址，所以完全可以自己实现一个方法去找内部函数的地址，比如我在一个函数头N个字节设计一个标记，调用时通过找这个标记就可以得到要调用的函数地址。3、动态调试这个就不解释了

本文链接：https://www.zhaodll.cn/postd38.html