昨天同事找我要dll总结,我一个搞样本分析的居然没有,属实是太尴尬了
所以今天来总结一下
1.
系统核心DLL:
– %System%\kernel32.dll
这个dll扩展出口于进程、内存、硬件、文件系统配置有关。病毒程序从这些dll文件中引入API函数,传输文件系统、内存以及进程相关配置。
– %System%\user32.dll
这个库的函数可以用来创建和操纵windows用户的洁面组建,例如窗口、桌面、菜单、消息通知、告警等等。一些病毒程序使用这个dll的函数执行DLL注入,键盘记录,鼠标记录。
– %System%\gdi32.dll
有关图形的动态链接库
– %System%\advapi32.dll
这是一个与系统服务以及注册表有关的函数。病毒程序通过使用这个dll中的函数来传输系统服务以及注册表相关的配置。
2.
网络相关DLL:
– %System%\ws2_32.dll
用于提供网络通信功能的核心动态链接库,包含各种网络编程接口,支持多线程安全及Mac地址获取。开发者在使用时需注意错误处理、初始化和清理、版本兼容性等问题。本课程详细介绍了ws2_32.dll的功能、使用注意事项和常见问题解决方法,旨在帮助Windows网络编程人员掌握其核心技能。
– %System%\wininet.dll
这个展示使用http和ftp协议的高级函数
– %System%\dnsapi.dll
是DNS客户端应用程序接口API相关文件。如果系统文件dnsapi.DLL被病毒感染后,被杀毒软件(比如360杀毒软件)删除,会导致重启后黑屏,进不去桌面提示 lsass.exe 无法找到组件,没有找到dnsapi.DLL
– %System%\dhcpcsvc.dll
Windows操作系统中实现DHCP客户端服务的动态链接库文件,该模块通过提供标准化API接口实现网络配置自动获取功能。截至2025年,其包含DhcpCApiInitialize、DhcpRequestParams、DhcpCApiCleanup等关键API,支持通用Windows平台(UWP)应用访问动态主机配置协议服务。该模块存在于所有Windows设备中,承担着DHCP客户端初始化、参数请求和资源清理等基础网络服务功能
3.
多媒体DLL:
– %System%\dsound.dll
是一个关键的Windows系统文件,它允许程序直接访问声卡,以实现低延迟的声音播放。 许多游戏和多媒体应用程序依赖于这个文件来正确地处理声音。 如果该文件丢失或损坏,相关的软件可能无法启动或者会出现错误提示。
– %System%\d3d9.dll
是DirectX 9的动态链接库,用于支持Windows多媒体和游戏。 出现提示缺少dll文件问题的大部分原因是因该文件被木马病毒破坏导致系统程序找不到此文件,出现错误提示框,或程序无法运行
– %System%\dinput8.dll
是一个关键的动态链接库文件,它属于DirectX的一部分,是微软DirectX 8.1及以上版本的组件之一。 dinput8.dll主要负责处理输入设备,如键盘、鼠标和游戏控制器等。 如果系统中缺少或损坏了dinput8.dll,可能会导致游戏和其他应用程序无法正常运行。
– %System%\dmband.dll
Microsoft DirectX中DirectMusic组件的动态链接库,专司MIDI波段管理与软合成器功能。该模块负责解析MIDI事件流,实现基于DLS(Downloadable Sounds)标准的波形音频合成,支持多音轨实时混音及动态效果处理(如混响、合唱)。其核心架构包含MIDI消息调度器、波表合成引擎和DLS音色库加载器,通过DirectMusic Producer API为应用程序提供低延迟MIDI回放能力。该组件通过硬件抽象层(HAL)适配不同音频设备,确保时序精度与多通道音频流的同步渲染,主要应用于游戏音频引擎、多媒体制作软件等需要高精度MIDI处理的场景。
4.
安全相关DLL:
– %System%\crypt32.dll
Windows操作系统中负责加密服务与安全认证的核心动态链接库文件,为应用程序提供数字签名验证、证书管理及SSL/TLS协议支持等关键功能。 2020年1月,该组件被发现存在严重加密漏洞,影响自Windows NT以来的所有版本系统,且Windows 7系统可能无法获得漏洞修复补丁。
– %System%\wintrust.dll
是Windows操作系统中负责验证数字签名的核心组件之一。 该文件通过校验程序或文件的数字证书确保其完整性和来源可信性,在软件安装、系统更新等场景中承担关键安全验证功能。 当该组件出现异常时,可能导致如Autodesk软件安装崩溃等系统级操作故障,需通过特定维护手段恢复其功能。
– %System%\secur32.dll
是Windows操作系统中的一个动态链接库文件,允许程序模块化和代码重用,减少重复代码的存在,从而节省存储空间并提高代码的效率,这个库主要是关于安全特性相关的
5.
数据库DLL:
– %System%\dbnetlib.dll
系统文件dbnetlib.dll是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是流氓软件篡改导致出现dbnetlib.dll丢失、dbnetlib.dll缺失损坏等弹窗现象,否则不建议用户对该类文件(dbnetlib.dll)进行随意的修改。
– %System%\dbnmpntw.dll
是 Microsoft 提供的一个 SQL Server 网络库(Net-Library) 动态链接库(DLL)文件,它用于支持 Named Pipes(命名管道)协议 与 SQL Server 之间的通信。
– %System%\sqlsrv32.dll
是一个由 Microsoft 提供的 ODBC 驱动程序库文件,用于支持 Windows 系统通过 ODBC(开放数据库连接) 与 Microsoft SQL Server 数据库通信。
6.
.NET框架DLL:
– %Windows%\Microsoft.NET\Framework\v4.0.30319\mscorlib.dll
是 Microsoft .NET Framework 中最核心的类库之一,全名是 Microsoft Common Object Runtime Library。它定义了 .NET 应用程序运行时所需的最基本的类型,比如:
System.ObjectSystem.StringSystem.Int32System.ArraySystem.CollectionsSystem.Threading- 以及异常处理、接口、委托等基础结构
– %Windows%\Microsoft.NET\Framework\v4.0.30319\System.dll
是 .NET Framework 中的核心类库之一,它提供了大量常用的 系统功能类,是构建 .NET 应用程序时经常自动引用的重要程序集。
NTDLL.dll
扩展windows本地API函数和行为作为在用户程序及核心之间的转换器。例如,当一个程序在kernel32.dll(或kernelbase.dll)调用了API函数,API作为返回调用一个短票据在ntdll.dll。程序通常不会直接从ntdll.dll引用函数;ntdll.dll中的函数通常被间接的被如kernel32.dll的dll调用。ntdll.dll中的函数通常都是无文档的。病毒程序作者有时直接引用此dl中的函数。l
这些DLL文件分布在系统目录(%System%)和.NET框架目录中,涵盖了操作系统核心功能、网络通信、多媒体处理、安全认证等多个方面。
No responses yet