程序在某个时刻偷偷的加载dll文件。。又偷偷的释放掉

冥界3大法王 · 发表于 2023-4-5 12:33

程序在某个时刻偷偷的加载dll文件。。又偷偷的释放掉

如何找到此时刻？并设法调试到？

jafck · 发表于 2023-4-5 16:33

微软SysinternalsSuite中的procmon。https://www.wangan.com/p/7fy7fg4643af9751
只看目标进程的信息，添加过滤规则：
Process Name is 进程名字

过滤加载系统的dll文件，只看应用程序当前目录下加载的dll文件，添加过滤规则：
Path contains is 应用所在文件夹

pjy612 · 发表于 2023-4-5 13:28

本帖最后由 pjy612 于 2023-4-5 13:29 编辑

emmm 咱是半桶水不一定对....

不过一般加载了dll 应该会调用类似 LoadLibrary 啥的吧？释放 dll 好像也有函数的应该。。。
试着 Hook 或者断点一下？简单打点日志？

52new · 发表于 2023-4-5 13:04

看api监控记录

tencentma · 发表于 2023-4-5 14:11

我一般是看日志的记录，里面有信息

cybermay · 发表于 2023-4-5 14:14

用什么工具可以仔细记录这个??

yp17792351859 · 发表于 2023-4-5 14:51

bp LoadLibrary

冥界3大法王 · 发表于 2023-4-5 17:47

不满意，就没新鲜的知识点啦？

NOOB · 发表于 2023-4-5 17:58

https://www.52pojie.cn/forum.php ... Analysis&page=1

only998 · 发表于 2023-4-5 18:12

也有那种自己写的Load dll程序，这个时候LoadLibrary就不管用啦

。除了这种方法，正常用dll入口点一般能断到，程序有反调试措施需要另外处理

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 程序在某个时刻偷偷的加载dll文件。。又偷偷的释放掉