怎么判断是DLL文件的呢？-看雪学苑-看雪-安全培训|安全招聘|www.kanxue.com

怎么判断是DLL文件的呢？

Student 2023-5-23 1079

提问者：
APT_华生 2021-4-1

bea4098173cac5d2f55b9338b1ef2cd0 是怎么判断是DLL文件的呢，前面地址不是400000吗，不应该是exe程序吗，我看了其他DLL文件的文件头中的Characteristics属性值发现是0x2102,而这里的属性是010F，对比exe的发现exe的是0102

4条回答

teacher 2023-5-23

这里主要以是否包含有导出函数，以及导出函数是否有不寻常的地方作为判定依据。可能有些奇怪的样本兼具exe和dll的特征，比如一般来说exe文件就不该有导出函数。我在这里介绍的是一种快速判定的方法，不是从根源上去教给大家如何对PE文件进行分类。

回复已采纳

陈枫hack 2023-11-23

4000000一般是基址但是动态基址并不能判断是否exe或DLL 或资源文件一般可执行文件快速识别方法直接拖入调试工具例如OD X64程序则拖入dbg 能起到那么就是可执行文件 EXE/DLL

lixinying1 2023-12-12

masmsnake 2024-2-3

hello,你发的提问中提到的bea4098173cac5d2f55b9338b1ef2cd0似乎是一个十六进制表示的文件哈希值，而不是直接与文件格式相关的标识。为了确定一个文件是DLL还是EXE，我们通常需要查看文件的二进制头部信息。

关于您提到的“地址不是400000”和“Characteristics属性值”，这些都是PE文件格式的一部分。PE（Portable Executable）格式是Windows操作系统用于可执行文件、静态库、DLL以及内核模式的驱动的格式。

在PE格式中，有一些关键的字段，其中之一就是“Characteristics”字段，它是一个用于描述文件特性的字节。这个字段的值可以告诉我们很多关于文件的信息。

1 2	`如果Characteristics的值是0x2102，那么这确实是一个DLL文件。` `如果Characteristics的值是0x0102，那么这通常是一个EXE文件。`

但是，请注意，十六进制010F并不是标准的PE Characteristics值。我猜测可能有一些额外的属性或者标识被添加到了这个字段中。

为了准确判断一个文件的类型，您可以使用工具如dumpbin（这是Visual Studio的一个实用工具）来查看文件的详细信息。例如：

bash
dumpbin /headers your_file_path.exe > output.txt

这将提供一个详细的头部信息，其中也包括Characteristics的值。这样您就可以准确地判断该文件是DLL还是EXE。

回答

回答问题，请先登录

恶意程序分析与高级对抗技术

参与学习 219 人

提问次数 6 个

恶意程序分析与高级对抗技术；恶意程序对抗、全面完整详细的分析恶意程序，了解恶意程序的行为

学习课程

我的问答领取收益

我的提问

我的回答

学习收益

采纳榜

Roger

teacher

jelasin

kanxue

0346954

34r7hm4n

MISTAKE_II

无名侠

RJ45实验室

amazing_516022

执着的追求

journey_g

MSGG05

RascallyDog

bubble_huntr

Melanthe

wx_量身定制

Bad_Dream

kevinqqnj

sky_123