最重要的一点是,你需要明白DLL文件本身并不是设计给普通用户像打开一个文本文档或图片那样直接“打开”和阅读的,它本质上是一个程序代码的集合,是给其他程序调用的,里面包含的是编译后的二进制机器码和资源,你无法用记事本这类简单文本编辑器去获得有意义的、可读的信息,如果你用记事本强行打开,看到的只会是一堆乱七八糟的乱码和少数几个可以辨认的英文单词,这没有任何实际意义。
我们所说的“查看其内容”究竟是指查看什么呢?通常有两个主要方向:一是查看这个DLL文件里到底包含了哪些功能函数(就像查看一个工具箱里有哪些工具),以及它依赖哪些其他文件;二是更进一步,去查看或分析它内部的代码逻辑(这就像去看工具箱里每个工具的设计图纸,非常复杂),针对不同的目的,我们需要使用不同的工具和方法,而且复杂程度和风险也完全不同。
对于绝大多数只是想满足好奇心的普通用户来说,第一个方向——查看DLL文件的基本信息、导出函数和依赖项——是最安全、最现实也最容易上手的,Windows系统自己就带了一个非常实用的工具,叫做Dependency Walker,不过在较新的Windows版本中,它可能被一个更现代的工具所取代或需要单独下载,另一个极其强大且免费的工具是 Microsoft的dumpbin,它是Visual Studio开发工具集的一部分,使用它需要一点命令行知识。
如果你没有安装Visual Studio,一个更直观、更推荐给新手的工具是 Resource Hacker,虽然它的主要功能是修改程序的界面资源(如图标、图片、菜单文字等),但它也能非常方便地以树状结构展示DLL文件的内容,你可以用Resource Hacker打开一个DLL,看到里面包含的“资源”部分,比如位图、对话框模板、字符串表等,这对于想了解或简单修改软件界面元素的人来说非常有用,操作也很简单:安装并打开Resource Hacker,然后通过“File” -> “Open”菜单打开你想要查看的DLL文件,左侧就会显示出资源的分类列表。
如果你想查看的是DLL文件提供的函数列表,那么Dependency Walker(depends.exe)是经典选择,你可以在网上下载到它的独立版本,打开软件后,把DLL文件拖进它的窗口,它就会自动开始分析,分析完成后,你会看到几个主要区域:最上面会列出这个DLL文件自身依赖哪些更基础的DLL(比如KERNEL32.DLL、USER32.DLL等),中间部分则会详细列出这个DLL“导出”的所有函数名,这些函数名就是其他程序可以调用的“工具”,通过查看这些函数名,你可以对这个DLL的用途有一个大致的猜测。
我们谈谈第二个方向,也就是查看代码逻辑,这扇门背后的世界就复杂得多了,充满了专业术语和技术壁垒,因为DLL文件是编译后的结果,源代码已经变成了处理器才能直接理解的机器指令,想把它变回人类能读的代码,需要一个叫做“反编译”的过程,这个过程无法完美还原出原始的、带有清晰变量名和注释的源代码,只能得到一个近似版本,通常非常晦涩难懂。
用于反编译的工具被称为反编译器,对于Windows平台的DLL(通常是PE文件格式),有一些著名的工具,IDA Pro(功能极其强大但非常昂贵,有免费版但功能受限)、Ghidra(美国国家安全局NSA开源发布的免费工具,功能强大但学习曲线陡峭)、dotPeek(专门用于查看.NET平台生成的DLL,如果是.NET DLL,这个工具可以还原得非常好,因为它本质上是将中间语言转换回高级语言)等。
使用这些反编译器已经远远超出了普通电脑用户的操作范畴,进入了软件分析、逆向工程或安全研究的领域,你需要对编程语言(如C++、C#)、汇编语言、程序运行原理有深入的了解,才能勉强看懂反编译出来的代码,随意反编译他人软件中的DLL文件可能涉及法律问题,如侵犯知识产权,所以除非是你自己编写的DLL,或者明确允许分析的开源软件,否则需要非常谨慎。
也是最重要的一点:安全警告,互联网上充斥着被病毒、木马伪装或植入的DLL文件,在你决定下载或打开一个来源不明的DLL文件之前,必须保持高度警惕,永远不要轻易运行来历不明的DLL(比如直接双击),也不要轻信网上教人注册DLL的教程而随意操作系统目录下的DLL,最好的做法是,在操作任何不熟悉的DLL前,先将其上传到像VirusTotal这样的多引擎在线病毒扫描网站进行检查,确保其安全性。
正确“打开”DLL文件并查看其内容,取决于你的目的:
