追根溯源"DLL技术"木马进程内幕大揭密

　　DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了庞大的Windows系统。如果Windows依然使用静态链接技术，那将是不可想象的。

　　 二、什么是API

　　在前面提到的“接口”又是什么呢？因为DLL不能像静态库文件那样塞进程序里，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，为每个DLL文件都明确地标注好它的功能名称，程序只要根据标准规范找到相关的名称进行调用就行了，这就是API（Application Programming Interface）应用程序接口，每个DLL带的接口都不尽相同，最大限度地减少了程序代码的重复。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

　　三、DLL与木马

　　DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。

　　当然，DLL文件是没有程序逻辑的，其实DLL并不等于EXE。不过，依然可以把DLL看做缺少了main入口的程序，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。