Обнаружение DLL или Дескрипторов

date image 2018-02-13
views image 300
Поделись с друзьями: 
26272829303132

Одна из наиболее мощных функций Просекспа - своя возможность быстро идентифицировать процесс или процессы, которым загрузили DLL или открытый объект. Например, предположите, что Вы пытаетесь удалить папку под названием ProjectX, но Windows не будет позволять Вам, потому что "это открыто в другой программе" — но Windows не будет говорить Вам который программа.

Нажмите Ctrl + F, чтобы открыть Поисковое диалоговое окно (показанный в рисунке 3-19), ввести имя или частичное имя DLL или возразить, что Вы пытаетесь найти, и затем щелкнуть по Вкладке поиска. Procexp соответствует имя, которое Вы вводили против каждого пути DLL, типа дескриптора, и имени дескриптора, к которому это может получить доступ, и это перечисляет все соответствия наряду с процессами, которым принадлежат они. Щелкните по соответствию, чтобы выбрать это в более низкой области и ее процесс обладания в верхней области. ­Двойной щелчок выбирает их и закрывает Поисковое диалоговое окно.

 

Рис. 3-19. Диалоговое окно Поиска Проводника Процесса.

Если Поиск возвращает много результатов, щелкните по заголовку столбца к виду тем столбцом, чтобы облегчить находить элементы интереса. Столбец Type идентифицирует, является ли соответствующий элемент DLL (более точно, отображенный файл) или объектный дескриптор. Столбец Дескриптора или DLL содержит имя дескриптора или путь к DLL. Имя дескриптора могло бы быть пробелом, если Шоу, Неназванные Дескрипторы И Отображения выбираются в меню View и имени, Вы ввели соответствия тип дескриптора.

Представление DLL.

Как Вы ожидали бы, представление DLL выводит на экран все DLL, загруженные выбранным процессом. Это также выводит на экран другие файлы с отображенной памятью, включая файлы с данными и файл изображения ­выполняемый (EXE)­. Для Системного процесса представление DLL перечисляет файлы изображений, отображенные в память ядра, включая ntoskrnl.exe и все загруженные драйверы устройства. Представление DLL пусто для Системы Неактивный Процесс и псевдопроцессы Прерываний.

Procexp требует административных прав перечислить DLL, загруженные в процессах, работающих как различный пользователь, но не перечислить изображения, загруженные в Системном процессе.

Настройка Предста в ления DLL.

С открытым представлением DLL щелкните правой кнопкой по заголовку столбца в более низкой области и выберите Избранные Столбцы, чтобы вывести на экран вкладку DLL Избранного диалогового окна Столбцов, как показано в рисунке 3-20. Вкладка DLL перечисляет атрибуты DLL и отображенных файлов, которые могут быть выбраны, чтобы появиться, когда представление DLL Просекспа открыто.

Рис. 3-20. Вкладка DLL Избранного диалогового окна Столбцов.

Следующее описывает столбцы, которые могут быть выведены на экран в представлении DLL:

■                Описание. Извлеченный из ресурса версии файла, если существующий.

■                Версия. Версия файла, извлеченная из ресурса версии файла, если существующий.

■                Отметка времени. Время последнего изменения файла, как сообщающийся файловой системой.

■                Имя. Имя файла DLL или отображенного файла, или <Файл подкачки, Поддержанный> для неназванного отображения файла. Парение указатель мыши по имени, чтобы вывести на экран его весь путь в подсказке.

■                Путь. Весь путь к DLL или отображенному файлу, или <Файл подкачки, Поддержанный> для неназванного отображения файла.

■                Компания. Имя, Извлеченное из ресурса версии файла, если существующий.

■                Проверенное Подписывающее лицо. Указывает, был ли файл проверен как в цифровой форме подписано сертификатом что цепочки к корневым полномочиям, которым доверяет компьютер. См., что "Подписи Изображения Проверки" разделяют позже в этой главе для получения дополнительной информации.

■                Отобразите Базовый адрес. Для файлов, загруженных, поскольку, исполнимая программа отображает, адрес виртуальной памяти от исполнимого заголовка изображения, который указывает, где изображение должно быть загружено. Если какой-либо необходимый диапазон памяти уже будет в использовании, то изображение должно будет быть перемещено к другому адресу.

■                Базовый адрес. Адрес виртуальной памяти, где файл фактически загружается.

■                Отображенный Размер. Число непрерывных байтов, запускающихся с базового адреса, использованного отображением файла.

■                Отображение Типа. Столбец Mapping Type выводит на экран "Изображение" для исполнимых файлов изображений или "Данные" для файлов с данными, включая DLL, загруженные для ресурсов только (таких как значки или локализованный текст) и неназванные отображения файла.

 

■                Байты Общего количества WS. Общая сумма рабочего набора (физическая память) в настоящий момент используется отображением файла.

■                WS Частные Байты. Количество физической памяти, использованной файлом, отображающимся, который принадлежит исключительно этому процессу и не может быть совместно использован с другими процессами.

■                WS Общие Байты. Количество физической памяти, использованной файлом, отображающимся, который может быть совместно использован с другими процессами.

■                WS Совместно используемые Байты. Количество физической памяти, использованной файлом, отображающимся, который также отображается в адресное пространство одного или более других процессов.

■                Тип изображения (64 по сравнению с 32-разрядным) (64-разрядные версии Windows только). Для исполнимых файлов изображений, указывает, определяет ли заголовок файла 64-разрядный или 32-разрядный код.

■                Включенный ASLR (Windows Vista и более новый). Для исполнимых файлов изображений, ASLR дисплеев, если заголовок файла указывает на поддержку Рандомизации Расположения Адресного пространства. Столбец - пробел, если изображение не поддерживает ASLR и n/a для файлов с данными.

Хотя им не включают по умолчанию, можно выделить DLL, которые не загружаются в их запрограммированном базовом адресе, выбирая Перемещенные DLL в Сконфигурировать диалоговом окне Выделения. (См., что "Процесс Выделяет" раздел ранее в этой главе.) DLL, которые не могут загрузиться в их базовом адресе, потому что другие файлы уже отображаются, там перемещаются загрузчиком, который использует ЦП и делает части DLL, которые изменяются как часть ­перемещения, не общего, который может уменьшить эффективность управления памятью Windows.

Если Шоу, Неназванные Дескрипторы И Отображения выбираются в меню View, представление DLL также, перечисляет неназванные отображения файла в адресном пространстве процесса, маркированном как <Файл подкачки, Поддержанный> в столбцах Name и Path, если выведено на экран. Для неназванных отображений многие из столбцов атрибута не содержат полезной информации, включая тех, которые выводятся на экран по умолчанию. Столбцы, которые могли бы быть представляющими интерес для неназванных отображений, являются базовым адресом, отображенным размером, и рабочими метриками набора.

Когда представление DLL открыто, меню DLL предлагает следующие опции для именованных файлов:

■                Свойства. Выводит на экран диалоговое окно Свойств для выбранного файла. См. "Пиринг Глубже в DLL" раздел для получения дополнительной информации.

■                Поиск Онлайн. Procexp запустит поиск выбранного имени файла, используя Ваш браузер по умолчанию и поисковую систему. Эта опция может быть полезной, исследуя ­вредоносное программное обеспечение или идентифицируя источник нераспознанного DLL.

■                Запуск Зависит. Если Ходок Зависимости (Depends.exe) утилита находится, Procexp запускает ее с путем к выбранному файлу как параметр командной строки. Зависит. exe показывает зависимости от DLL. Это имело обыкновение поставлять с различными продуктами Microsoft и теперь распределяется через www.DependencyWalker.com.

 

Пиринг Глуб ж е в DLL.

Дважды щелкните по именованному элементу в представлении DLL, чтобы вывести на экран его диалоговое окно Свойств, как показано в рисунке 3-21. Вкладка Image выводит на экран информацию об отображенном файле, таком как Description, Company, Версия, Путь, базовый адрес и размер в памяти процесса, и (на x64), является ли это 32-разрядным или 64-разрядным. Несколько из этих полей могут быть выбраны и скопированы в буфер обмена.

Рис. 3-21. Вкладка Image диалогового окна Свойств DLL.

Поле Company также используется, чтобы указать, был ли исполняемый файл проверен как в цифровой форме подписано доверяемым издателем. (См., что "Подписи Изображения Проверки" разделяют позже в этой главе для получения дополнительной информации.), Если отображенный файл - тип исполняемого файла с ресурсом версии Названия компании и проверкой подписи, не был уже предпринят, нажмите кнопку Verify, чтобы выполнить проверку допустимости. Эта функция может быть полезной, чтобы проверить, что файл, который утверждает, что был из определенного источника, фактически от того издателя и не был изменен. Если подпись на изображении была проверена, (Проверенные) дисплеи поля Company и подчиненное имя на сертификате подписания. Если проверка не была ­предпринята, полевые дисплеи (Не проверенный) с названием компании от ресурса версии изображения. Если изображение не подписывается, или проверка подписи перестала работать, шоу столбца (Неспособный проверить) с названием компании.

Вкладка Strings диалогового окна Свойств (показанный в рисунке 3-22) показывает все последовательности трех или больше печатаемых символов, найденных в отображенном файле. Если переключатель Image устанавливается, строки читаются из файла изображения на диске. Если переключатель Memory устанавливается, строки читаются из диапазона памяти, в котором отображается файл. Изображение и строки памяти могли бы отличаться, когда изображение распаковывается, или они могли бы быть дешифрованы когда загружено в память. Строки памяти могли бы также включать динамически созданные области данных диапазона памяти изображения.

Примечание. В программировании термин "строка" относится к структуре данных, состоящей из последовательности символов, обычно представляя удобочитаемый текст.

 

Рис. 3-22. Вкладка Strings диалогового окна Свойств DLL.

Нажмите кнопку Save, чтобы сохранить выведенные на экран строки к текстовому файлу. Чтобы сравнить изображение и строки памяти, сохраните образ и строки памяти, чтобы разделить файлы и затем идентифицировать различия для утилиты текстового сравнения.

Чтобы искать определенный текст в строковом списке, нажмите кнопку Find, чтобы вывести на экран стандартное диалоговое окно Находки. Чтобы искать дополнительные возникновения того же самого текста, просто нажмите F3 или щелкните по Find и Find Затем снова — поиск продолжается от в настоящий момент выбранной строки.

26272829303132

double arrow
Сейчас читают про:

article image
Нарушения слоговой структуры слова у детей
article image
Основные экономические группировки стран современного мира
article image
РАВНОМЕРНЫЙ ПРОКАТ
article image
ОБОЗНАЧЕНИЕ МАТЕРИАЛОВ НА ЧЕРТЕЖАХ
article image
Требования к тексту документа
article image
Константа химического равновесия
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Тот никогда не ошибался, кто никогда не пробовал сделать что-то новое. © Эйнштейн ==> читать все изречения...
like icon 8302
like icon 8037
Понравился сайт? Поделись им с друзьями: