学习一下这块的东西，最近挺感兴趣的，正好许久未更新了，遂有此文

封面选了最近耍游戏时的图，最高级的木马往往只需要最简单的方法：直接开着飞船冲进去（

这方面内容还是很有意思的，每每看到神乎其神的免杀，绕edr的方法，还有 windows 或者 Linux 又有新洞了

就能感觉到天才和普通人的差距hhh，下面正文

dll文件

学名“动态链接库” Windows 操作系统中一种非常常见的可执行文件格式

作用：便于程序功能的复用

假设你有两个游戏都用到了“播放背景音乐”的功能，如果每个游戏都自己写一遍播放音乐的代码，就太浪费了。 于是，Windows 把播放音乐的功能打包进一个 DLL 文件（比如 winmm.dll），两个游戏运行时都可以调用它，节省空间、提高效率。

但是dll的调用编译是不会触发的，运行时会调用dll

并且虽说是可执行文件，但是和 exe 不一样，dll 只能由 exe 调用执行

工具

Dependencies 下载地址：https://github.com/lucasg/Dependencies/releases

使用没啥可讲的，左上角文件然后打开你想看的exe，就出来了

example

以网易云音乐为例子：

打开文件所在位置，即可指向到 exe 文件：

按照这个路径在工具里面直接打开就可以了：

列出来了调用到的所有的 dll ，单击某一个：

可以看到还列出了这个 dll 用到的函数和地址之类的信息

可以通过 options 里面指定查找的 dll 的范围

工具(2)

第二个工具！Process Monitor

地址：https://learn.microsoft.com/zh-cn/sysinternals/downloads/procmon

软件默认监听全盘，下面这个按钮开关，有点类似于 wireshark

ctrl+x 可以清屏并且停止监听

ctrl+L 进入过滤器（重点）

实现对特定程序调用 dll 进行监听的语法：

• Process Name is 目标.exe → Include
• Operation is Load Image → Include

加这两条过滤器就可以实现了