工具箱API

① 打开战网提示缺少“api-ms-win-crt-runtime-l1-1-0.dll”怎么办

打开战网提示缺少“api-ms-win-crt-runtime-l1-1-0.dll”可以尝试使用腾讯电脑管家来修复缺失DLL文件。具体方法如下：

1、打开腾讯电脑管家。

5、如果还是解决不了，去脚本之家下一个文件直接复制进去即可。

② 如何为自己的App搭建后台Api接口

如果你是使用的VC (Visual Studio C++)的话，也是有与VB类似的工具箱来拖放控件的，对于一般的应用程序，推荐基于MFC来开发。--这意味着你需要再学习一些新的东西，如果你只是处于学习C语言的阶段，这没有必要这样。 如果你是使用的Turbo C之类的，因为那个年代很多系统还是DOS的字符界面，所以基本上没有好的工具来作GUI界面，需要自己编辑资源文件来创建Win32的界面，需要比较熟悉win32的api。对于简易的界面而言，这是可行的，复杂点的，还是使用VC比较好。

③ VB.NET的API调用

现在我用我所知道的为楼主介绍VB.NET的API调用，请楼主浏览一下，看看行不行。
Windows API就是Windows系统的API函数简称（Application Program Interface，即：应用程序接口函数），它是Windows操作系统提供给各种开发基于Windows平台应用软件的开发语言的一些公用的函数，这些函数一般都比较底层，所以当各种开发语言使用自带的函数或类库已无法解决问题时，调用Windows API函数往往是一种非常直接、有效的解决方法。但由于在程序中调用Windows API函数一般都很复杂，所以对于程序员来说，是否能够灵活的使用Windows API函数，往往也是其水平高低的一个重要标志。但自从微软推出.Net框架以后，各种开发基于.Net平台下的程序语言，如Visual Basic .Net、Visual C＃等却很少使用Windows API函数，并且微软公司也不像以前那样，提倡在这些.Net开发语言中使用Windows API函数，其主要的原因如下：

1. .Net框架所附带的类库.Net FrameWork SDK是一个内容丰富、功能强大的软件开发包，各种Windows API函数所实现的各种功能几乎都可以在这个软件开发包中找到与之对应的部分。

2. 微软Visual Basic .Net、Visual C＃等目的是编写跨平台的应用程序，如果在Visual Basic .Net、Visual C＃等中使用Windows API函数，这也就注定了编写出的程序只能运行于Windows平台之下，而弱化了.NET的跨平台能力。这也就是为什么微软不提倡在.Net平台调用Windows API函数的原因。

虽然微软并不提倡在Visual Basic .Net、Visual C＃中调用Windows API函数，但由于目前.Net 框架推出时间较短，.Net FrameWork SDK中提供的类库还并不足以完全替换Windows API函数的所有功能，所以在某些时候，.Net开发语言还是必须要调用Windows API函数。

一.平台调用、托管DLL、非托管DLL简介：

托管DLL就是能够在公共语言运行库（Common Language Runtime，简称CLR）中能够直接引用的，并且扩展名为“DLL”的文件。具体所指就是封装各种命名空间所在的DLL文件，如System.dll等。非托管DLL就是平常所的动态链接库等，其中就包括了封装所有Windows API函数的DLL文件。各种非托管DLL中的函数在公共语言运行库中不能直接被调用，而需要经过.Net框架提供的“平台调用”服务后才可以。

“平台调用”是.Net框架为Visual Basic .Net、Visual C＃等.Net开发语言提供的一种服务，用以在托管代码中引入各种非托管DLL中封装的函数（其中包括Windows API函数）。“平台调用”依赖于元数据在运行时查找导出函数并封装其参数。图01公共语言运行库利用“平台服务”调用非托管DLL中的函数的流程图：

图01：“平台服务”的调用非托管函数的流程图

在托管代码中使用“平台调用”服务调用非托管DLL中封装的函数时，“平台服务”将依次执行以下操作：

1． 查找包含该函数所在的DLL文件。

2． 如果找到，则将该DLL文件 加载到内存中。

3． 查找函数在内存中的地址并将其参数推到堆栈上，并封送所需的数据。

4． 将控制权转移给非托管函数。 这样整个函数调用完成。

在Visual Basic .Net中使用“平台调用”服务，申明Windows API函数主要有二种具体的实现方法：

1． 使用DllImport特征类来申明Windows API函数。

2． 使用“Declare”语句来申明Windows API函数。

这二种方法虽有异曲同工之效，但在繁简上却有很大差异，第一种方法申明过程比较复杂，很容易在申明Windows API函数时出错，所以并不提倡。而第二种方法相对简单，并且又保存了以前Visual Basic中的很多语法，所以在平常时大都使用这种方法来申明Windows API函数。

二．VB.Net查看文件中图标的函数及申明Windows API的方法：

Visual Basic .Net要实现查看文件中的图标，目前只使用.Net FrameWork SDK是无法实现这种功能的，正如前面所说，主要是由于.Net FrameWork SDK推出的时间较短，其功能还不可能面面俱到。解决问题的关键是正确使用Windows API函数，其中所涉及到的Windows API函数主要有二个：其一是获得指定文件中的图标数目；其二是从指定文件的指定位置导出图标的Windows句柄。这二个函数都位于“Shell32.dll”文件中，并且函数的入口点都为“ExtractIcon”。下面是在Visual Basic .Net中分别使用DllImport特征类和“Declare”语句申明这二个Windows API函数的具体方法。

（1）.使用DllImport特征类来申明Windows API函数：

下面是在Visual Basic .Net中使用DllImport特征类申明二个Windows API函数的具体示例：

'函数ExtractIcon，其功能是是从指定文件的指定位置导出图标的Windows句柄。
＜ System.Runtime.InteropServices.DllImport ( "Shell32.dll" , EntryPoint := "ExtractIcon" ) ＞ _
Public Function _
ExtractIcon ( ByVal src As System.IntPtr , ByVal strFileName As string , ByVal uiIconIndex As UInt32 ) As System.IntPtr
End Function
'函数Icon_Num，其功能是获得指定文件中的图标数目
＜ System.Runtime.InteropServices.DllImport ( "Shell32.dll" , EntryPoint := "ExtractIcon" ) ＞ _
Public Function _
Icon_Num ( ByVal src As System.IntPtr , ByVal strFileName As string , ByVal uiIconIndex As Integer ) As Integer
End Function

在使用DllImport特征类申明Windows API函数时，如果申明的函数名称和函数的入口点相同，则可以在申明Windows API函数时，省略定义函数入口点对应的代码，即EntryPoint对象字段对应的代码，这样声明ExtractIcon函数的代码也可以简化为如下所示：

＜ System.Runtime.InteropServices.DllImport ( "Shell32.dll" ) ＞ _
Public Function _
ExtractIcon ( ByVal src As System.IntPtr , ByVal strFileName As string , ByVal uiIconIndex As UInt32 ) As System.IntPtr
End Function

（2）.使用“Declare”语句来申明Windows API函数：

使用“Declare”语句的确比使用DllImport特征类要简单了许多，下面是在Visual Basic .Net中使用“Declare”语句来声明上述二个Windows API函数的具体方法：

Declare Auto Function ExtractIcon Lib "Shell32.dll" Alias "ExtractIcon" ( ByVal src As System.IntPtr , ByVal strFileName As string , ByVal uiIconIndex As UInt32 ) As System.IntPtr
'声明ExtractIcon函数
Declare Auto Function Icon_Num Lib "Shell32.dll" Alias "ExtractIcon" ( ByVal src As System.IntPtr , ByVal strFileName As string , ByVal uiIconIndex As Integer ) As Integer
'声明Icon_Num函数

在Visual Basic .Net中声明Windows API函数时，“Declare”语句中Alias关键字的作用相当于使用DllImport特征类中的EntryPoint对象字段。同样在使用“Declare”语句声明Windows API函数时，如果声明的函数和函数的入口点相同，也可以省略Alias关键字对应的代码，所以ExtractIcon函数也可以简化为如下：

Declare Auto Function ExtractIcon Lib "Shell32.dll" ( ByVal src As System.IntPtr , ByVal strFileName As string , ByVal uiIconIndex As UInt32 ) As System.IntPtr

下面就结合一个示例的编写过程来掌握的这二个Windows API函数的具体使用方法，这个示例的作用就是读取指定文件中的图标数目，并显示文件中的图标。

三．本文中程序的编写、调试和运行环境：

（1）.视窗2000高级服务器版。

（2）.Visual Studio .Net 2003企业结构设计版，.Net FrameWork SDK版本号4322。

四．Visual Basic .Net读取文件中的图标的实现步骤：

下面介绍的示例，其功能读取指定文件中包含的图标数目，并把这些图标全部显示出来。下面是这个示例的实现步骤：

1. 启动Visual Studio .Net。

2. 选择菜单【文件】|【新建】|【项目】后，弹出【新建项目】对话框。

3. 将【项目类型】设置为【Visual Basic项目】。

4. 将【模板】设置为【Windows应用程序】。

5. 在【名称】文本框中输入【Visual Basic .Net查看文件中的图标】。

6. 在【位置】的文本框中输入【E:\VS.NET项目】，然后单击【确定】按钮，这样在【E:\VS.NET项目】目录中就产生了名称为【Visual Basic .Net查看文件中的图标】文件夹，里面存放着【Visual Basic .Net查看文件中的图标】项目的所有文件。具体如图02所示：

图02：【Visual Basic .Net查看文件中的图标】项目的【新建项目】对话框

7. 选择菜单【项目】|【添加新项】，在弹出的对话框中的【模板】设置为【模块】，【名称】文本框设置为【Mole1.vb】后。单击【打开】按钮，则在项目中增加了一个模板文件，名称为【Mole1.vb】。

8. 把Visual Stuido .Net的当前窗口切换到Mole1.vb的代码编辑窗口，并在其Mole1的代码区中添加下列代码，下列代码是用二种方式声明二个Windows API函数：

＜ System.Runtime.InteropServices.DllImport ( "Shell32.dll" ) ＞ _
Public Function _
ExtractIcon ( ByVal src As System.IntPtr , ByVal strFileName As String , ByVal uiIconIndex As UInt32 ) As System.IntPtr
End Function
'声明ExtractIcon函数
Declare Auto Function Icon_Num Lib "Shell32.dll" Alias "ExtractIcon" ( ByVal src As System.IntPtr , ByVal strFileName As String , ByVal uiIconIndex As Integer ) As Integer

9. 把Visual Studio .Net的当前窗口切换到Form1窗体的设计查看，并从【工具箱】中的【Windows窗体】选项卡中拖入下列组件到Form1窗体：

四个Label组件，其中二个用以显示提示信息，另外二个分别用以显示选择的文件名称和这个文件中包含的图标数目。

一个ListView组件，利用其显示大图标的属性用以显示选定文件中的图标。

一个OpenFileDialog组件，用以选择要查看图标的文件名称。

一个ImageList组件，它起的是桥梁的作用，首先把从文件中导出的图标存放到这里，然后再提供ListView组件显示出来。

一个Button组件。

10. 按照表01中数值来设定设定组件的主要属性：

组件类型 组件名称 属性 设置结果
Form Form1 Text VB.NET查看文件中的图标
Form1 MaximizeBox False
Form1 MinimizeBox False
Form1 FormBorderStyle FixedSingle
ListView ListView1 ImageList1 LargeImageList
ListView1 MultiSelect False
ListView1 Size Size ( 380 , 208 )
Button Button1 Text 选择文件
Button1 FlatStyle Flat
ImageList ImageList1 Size Size ( 32 , 32 )
ImageList1 TransparentColor Color.Transparent
Label Label1 Text 文件名称：
Label2 Text 图标数目：
Label3 Text ""
Label4 Text "0"
表01：【Visual Basic .Net查看文件中的图标】项目窗体中各组件的主要属性设定数值表

并按照图02中各组件的位置、大小和排列方式来调整窗体中各个组件：

图02：【Visual Basic .Net查看文件中的图标】项目的设计界面

11. 把Visual Studio .Net当前窗口切换到Form.vb的代码编辑窗口，并用下列代码替换Form1.vb中的Button1组件的Click事件的处理代码，下列代码是在Button1组件的Click事件中处理查看文件中图标的功能，具体如下：

Private Sub Button1_Click ( ByVal sender As System.Object , ByVal e As System.EventArgs ) Handles Button1.Click
If OpenFileDialog1.ShowDialog ( ) = DialogResult.OK Then
'清除组件中的所有项目
ListView1.Items.Clear ( )
ImageList1.Images.Clear ( )
Dim sfName As String = OpenFileDialog1.FileName
Label3.Text = sfName
Dim iIcon_Num As Integer = Icon_Num ( IntPtr.Zero , sfName , -1 )
'显示文件中的图标数目
Label4.Text = iIcon_Num.ToString ( )
Dim i As Integer
For i = 0 To iIcon_Num - 1 Step 1
'强制实现int到uint类型转换
Dim j As UInt32
j = System.Convert.ToUInt32 ( i )
Dim hIcon As System.IntPtr = ExtractIcon ( IntPtr.Zero , sfName , j )
'在imageList1组件中加入当然提取的图标
ImageList1.Images.Add ( Icon.FromHandle ( hIcon ).ToBitmap ( ) )
'在ListView组件中加入一个项目
ListView1.Items.Add ( "第" + ( i + 1 ).ToString ( ) + "个图标" )
'把加入项目的图象索引指向刚才加入图标在imagList1组件中的索引，从而显示图标
ListView1.Items ( i ).ImageIndex = i
Next i
End If
End Sub

12. 至此，在上述步骤都正确执行后，【Visual Basic .Net查看文件中的图标】项目的全部工作就完成了。单击快捷键F5就可以运行程序，此时单击【选择文件】按钮选择文件后，程序就能够读取这个文件中的图标及其数目，并显示出来了。具体如图03所示：

图03：【Visual Basic .Net查看文件中的图标】项目的运行界面

五．总结：

解决Visual Basic .Net查看文件中的图标的关键并非是使用.Net框架中提供的类库，而是使用Windows的API函数。虽然这与利用Visual Basic .Net开发跨平台程序的初衷相违背，但的确不失为一种解决问题的方法。有些时候通过Windows API函数能够快捷、方便的解决实际问题，而这往往是只使用.Net FrameWork SDK所望尘莫及的，但随着.Net FrameWork SDK内容的不断丰富，各种新的组成部分和新的功能不断加入，可以预见的是，在未来的.Net FrameWork SDK中必将拥有可以替换本文中介绍的二个Windows API函数的组成部分。

④ 甩手掌柜工具箱里面的抓取商品，复制宝贝，数据包处理、转换的工具教程在哪里API接口老是失败是怎么回事

第1步：选择商品

在网店节点，打开自定义分类，然后选中需要复制的商品。建议选择商品的条数不超过50条，最好在20条左右。太多了不容易修改，查找。
选择20条商品如下操作：1.选中第1条商品。2.向下拖动滚动条或者使用鼠标滚轮至第20条商品。3.按住shift键同时左键点击第20条商品，将第1条至20的中间的全部选中

第2步：复制到另外一个店铺
1.右击刚才选中的商品，使用"复制到—>拍拍网店"，将商品复制拍拍网店：

2.选择商品复制过去后所属的分类：
点击中间的复制的"方向"按钮，会弹出一个选择自定义分类窗口。这个窗口是复制过去后在拍拍中的分类。
如果中间不想要复制某些商品，可点击中间的反向"方向"按钮，可以将选中的商品剔除掉。

3.确认复制的商品

4.复制商品，自动转换类目、属性

第3步：启动店铺医生可用性检测

由于各个平台之间的差异巨大，经过甩手掌柜的一轮转换匹配之后，可能还是会有一些商品的属性匹配不上。这时候我们需要将这些信息手工补全，才能够上传到对应的网店中。
所以，启动店铺医生，找出还没有完善的商品信息，如下图：

1.启动店铺医生，使用可用性检测检测商品的*号属性是否完善
店铺医生将没有晚上的商品属性列出来，

甩手掌柜能够自动转换匹配多个平台之间的商品数据，下图的复制过程，如果数据量打，可能会持续一段时间，请耐心等待：

第4步：处理商品描述中的图片
淘宝→拍拍：您需要先将商品全部上传到拍拍网之后，进行图片搬家，请查看：
http://www.sszgclub.com/Help.aspx?id=1461
淘宝→淘宝：例如淘宝A店复制到淘宝B店，您需要对图片进行授权，否则将会出现"对不起，您不能使用他人图片空间中的图片"，此时，您需要先对网店B进行图片的使用授权。如果授权已满，或者因为信誉度没有达到一钻，没有授权的权限，那么您需要对商品进行图片搬家，将图片复制一份到甩手掌柜的图片空间中来。

⑤ android的sdk和api是什么意思

SDK就是Kit，工具箱嘛，IOS平台上就是XCode，一系列的工具组合在一起，比如你在编辑器里敲代码的时候它会自动补全代码，自动错误检查，你点一下Run，它会调用编译器来自动编译，编译完它会调用iPhone的模拟器来运行，这就是SDK，提供整套的开发工具供开发者使用。
OpenAPI就是网站提供的接口，比如你想开发一个围脖的手机客户端，你从哪里读取数据写入数据呢？总不能从Web版里调用吧？那里是一堆一堆的html代码啊，所以OpenAPI就是网站提供的接口，供开发者接入用的，比如聚合数据平台。

SDK (Software Development Kit)翻译成中文就是"软体开发工具组"
是用来帮一个 产品 或 平台 开发应用程式的工具组，由产品的厂商提供给开发者使用的。
通常是 某一家厂商 针对某一 平台 或 系统 或 硬体 所发布出来用以开发应用程式的工具组，
在这个工具包里面，可能包含了各式各样的开发工具，模拟器等。
例如：给 Android平台 使用的 Android SDK 就是用来开发 Android系统上面的应用程式。
API (Application Programming Interface)
翻译成中文就是"应用程式介面"，其实这样翻译不好，应该说是"程式沟通介面"。
翻译为介面，顾名思义就要沟通两个不同的东西用的，通常由一组函式库所组成。
在一个 同一个平台 下的 两个不同东西(程式 or 系统)，为了能取用对方的功能等等，
所以一个 X程式 写了一组函式，让 同一平台的其他程式 取用 X程式 的功能，
那组函式就可以说是那个 X程式 对外开放的 API。
例如：我要在 自己的网页 上加入 google map网页的功能，就使用 "google map API"

有时候 SDK(开发者工具包) 里也会带有些许 API 用来调用一些系统平台程式提供的功能
例如说：视窗显示，图形特效等等。
以下举一个实际例子来说明，调用系统程式功能的API 是怎麽一回事
开发Windows应用程式的SDK(开发者工具包) 里就包含 Win32 API
说明： Win32 API 是一个函式库，可以给Windows应用程式 调用 Windows系统的功能
在PTT看到有人问了差异性，我的看法是
SDK是用来开发某一个平台的程式的工具包，API 是让同一平台下的程式取用它的功能的函式库。
以及下面的评论
1.API 通常大家都不会弄错，的确就是以功能为导向的"方法"或"函式"清单，
看程式语言或平台而定( Methods, Functions... )，
而每个 API 主要都是为了达成某特定功能所设计的。
开发商可以为了不同平台，设计相同的 API 让开发者使用，
也可能会因应不同平台，制作不同的 API 让开发者使用。
2.当 API 数量够多功能够繁复并且可交互为用的时候，
( 例如为了达成某些功能，常需要同时引用某些 APIs 来完成 )
开发商就会为了开发便利，而预先撰写好一些组合好 APIs 的 API
供开发者使用，来统一有特定需求的开发者能有一致的开发与使用体验，
( 例如让使用"网路连线"的开发者不需自己处理网路的基础沟通信息，
与错误处理方式，使 API 在应用的时候有一定程度的便利性等 )
然后，也陆续发展出测试、除错工具，甚至是设计不同平台开发环境所需的套件，
尤其针对不同平台，更是设计了对应的工具来协助开发、除错；
SDK 名词之所以出现，俨然是为了汇整上述这些资源而诞生的，
我想也可以说成是 API 的包含者(直接使用)与应用者(以便加速开发)，
也因此可以说这两个是属于不同层级的东西...

⑥ JAVA的JDK和API有什么关系

第一、JDK是开发包，是应用程序的开发环境；API应用程序编程接口，是一些预先定义的类，我们写程序的时候可以直接使用这些已经被打包的类来做具体的应用。我们在搭建jdk的时候就包含了API

第二、你这个问题问的有点问题，java分为javase、javaee、javame用的jdk是同一个，开发javaEE，javame的时候还需要导入其他外来包

第三、我用的是myEclipse2013，jdk是用的1.7做个示范，window—>preference —> java —> 点击Installed JREs—>右边点击Add —>双击Standard VM—>点击Directory—>找到你JDK安装目录—>finish 选择你导入的JDK就行了

个人的理解，希望能帮到你

⑦ [VB]如何用api函数调用打开、保存对话框

VB提供了一通用对话框控件方便了我们在程序中选择特定文件的需要，不过通用对话框不是内部控件，使用时要从“部件”中向控件工具箱添加，程序发布时需要打包时必然增加“包”的“份量”，感觉十分不便，现用API函数来完成这一任务。
先将如下API函数声明及常量声明粘帖到一个模块中。

Declare Function GetOpenFileName Lib "comdlg32.dll" Alias "GetOpenFileNameA" (pOpenfilename As OPENFILENAME) As Long
Type OPENFILENAME
lStructSize As Long
hwndOwner As Long
hInstance As Long
lpstrFilter As String
lpstrCustomFilter As String
nMaxCustFilter As Long
nFilterIndex As Long
lpstrFile As String
nMaxFile As Long
lpstrFileTitle As String
nMaxFileTitle As Long
lpstrInitialDir As String
lpstrTitle As String
flags As Long
nFileOffset As Integer
nFileExtension As Integer
lpstrDefExt As String
lCustData As Long
lpfnHook As Long
lpTemplateName As String
End Type

在窗体上放置文本框和命令按钮各一个，并粘帖如下代码，启动程序按下按钮即会打开选择文件对话框。
Private Sub FileOpen_Click()
Dim ofn As OPENFILENAME
Dim rtn As String
ofn.lStructSize = Len(ofn)
ofn.hwndOwner = Me.hWnd
ofn.hInstance = App.hInstance
ofn.lpstrFilter = "所有文件"
ofn.lpstrFile = Space(254)
ofn.nMaxFile = 255
ofn.lpstrFileTitle = Space(254)
ofn.nMaxFileTitle = 255
ofn.lpstrInitialDir = App.Path
ofn.lpstrTitle = "打开文件"
ofn.flags = 6148
rtn = GetOpenFileName(ofn)
If rtn >= 1 Then
Filename.Text = ofn.lpstrFile
Else
Filename.Text = "Cancel Was Pressed"
End If
End SuPrivate Sub FileOpen_Click()
Dim ofn As OPENFILENAME
Dim rtn As String
ofn.lStructSize = Len(ofn)
ofn.hwndOwner = Me.hWnd
ofn.hInstance = App.hInstance
ofn.lpstrFilter = "所有文件"
ofn.lpstrFile = Space(254)
ofn.nMaxFile = 255
ofn.lpstrFileTitle = Space(254)
ofn.nMaxFileTitle = 255
ofn.lpstrInitialDir = App.Path
ofn.lpstrTitle = "打开文件"
ofn.flags = 6148
rtn = GetOpenFileName(ofn)
If rtn >= 1 Then
Filename.Text = ofn.lpstrFile
Else
Filename.Text = "Cancel Was Pressed"
End If
End Sub------------------------------------------------------

⑧ 木马什么意思

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。
所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。
参考资料：http://bbs.51ww.com/365000/ShowPost.aspx

--------------------------------------------------------------------------------

DLL 木马揭秘

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢？它与一般的木马有什么不同？

一、从DLL技术说起

要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。静态链接技术让劳累的程序员松了口气，一切似乎都很美好。可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推销员，不管你想不想要宣传单，他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。

时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的方法来解决代码重复的难题。后来，Windows系统出现了，时代的分水岭终于出现。Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的方法，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。完成需要的功能后，这个DLL停止运行，整个调用过程结束。微软让这些库文件能被多个程序调用，实现了比较完美的共享，程序员无论要写什么程序，只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是，DLL绝对不会让你多拿一个花瓶，你要什么它就给你什么，你不要的东西它才不会给你。这样，写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家，否则罚款，这是自助餐。

DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了强大的Windows系统。如果Windows使用静态链接技术，它的体积会有多大？我不敢想。

二、应用程序接口API

上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽最大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

三、DLL与木马

DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。

四、DLL的运行

虽然DLL不能自己运行，可是Windows在加载DLL的时候，需要一个入口函数，就如同EXE的main一样，否则系统无法引用DLL。所以根据编写规范，Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据，这个函数不作为API导出，而是内部函数。DllMain函数使DLL得以保留在内存里，有的DLL里面没有DllMain函数，可是依然能使用，这是因为Windows在找不到DllMain的时候，会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入，并不是说DLL可以放弃DllMain函数。

五、DLL木马技术分析

到了这里，您也许会想，既然DLL木马有那么多好处，以后写木马都采用DLL方式不就好了吗？话虽然是这么说没错，但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，你需要了解更多知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。
如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。
DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种方法进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程-_-

远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了，你确定要关闭Windows吗？

3.木马的启动

有人也许会迫不及待的说，直接把这个DLL加入系统启动项目不就可以了。答案是NO，前面说过，DLL不能独立运行，所以无法在启动项目里直接启动它。要想让木马跑起来，就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。

启动DLL木马的EXE是个重要角色，它被称为Loader，如果没有Loader，DLL木马就是破烂一堆，因此，一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗？DLL木马就是爬在狼Loader上的狈。

Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的方法（rundll32.exe [DLL名],[函数] [参数]）像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。

4.其它

到这里大家也应该对DLL木马有个了解了，是不是很想写一个？别急，不知道大家想过没有，既然DLL木马这么好，为什么到现在能找到的DLL木马寥寥无几？现在让我来泼冷水，最重要的原因只有一个：由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会出错崩溃。别紧张，一般的EXE也是这样完蛋的，但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的是系统进程哦，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，写得多了自己都烦躁……

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在，只要杀了狼，狈就不能再狂了。而DLL木马本体比较难发现，需要你有一定编程知识和分析能力，在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL，可是对新手来说……总之就是比较难啊比较难，所以，最简单的方法：杀毒软件和防火墙（不是万能药，切忌长期服用）。
还能窃取密码，最狠了

⑨ DLL木马的应用程序接口API

上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽最大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

⑩ 急急急~~系统资源不足，无法完成API，打不开电脑是怎么回事

故障现象：电脑在开机的时候（登录桌面之前），提示“系统资源不够，无法完成API”点击“确定”后，电脑自动重起。甚至连“安全模式”/“最后一次正确配置”也无法进入。

故障原因：C盘的剩余空间过小。lsass.exe 系统错误----系统资源不够，无法完成API。

在不重装系统的情况下，可以使用下面的方法解决此问题：
第一种方法：
这种方法最容易，就是把硬盘先从现在的机器上拆下来，把它用数据线装到一台其他的机器上充当“从盘”。使用另一台机器的系统启动后，进入该问题硬盘的“操作系统分区”，把里面不用的文件都移动到其他的分区去，删除一些多余的文件和程序，让C盘分区多出一些剩余空间（至少300MB-500MB当然越多越好）

第二种方法：
如果系统安装了DOS或者有系统光盘，那么就使用光盘进PE系统或者开机时按F8进入“开机高级选单”再进入“返回到操作系统选择菜单”，选择DOS工具箱，然后再在DOS环境下或者PE系统中，删除C盘的多余的垃圾文件，删除完，确定C盘有足够的剩余空间以后，按Ctrl+Alt+Del键重新启动，顺利登陆系统。
（详细的如何进入PE系统的步骤：
先把光盘放入光驱，开机时按F2或者F12进入Boot Menu选择Boot From CD-Rom/Dvd-Rom，使用光盘引导系统就可以选择进入PE系统。（也可以事先在开机时按DEL键进入CMOS设置，设置第一启动为“Boot From CD-Rom/Dvd-Rom”，然后使用系统光盘直接引导系统。））

（详细的进入DOS工具箱的步骤：
首先要下载安装一个“矮人dos工具箱”，安装以后，重新启动机器，开机以后，不停地按F8键，直到进入“开机高级选单”，（里面有安全模式什么的）在里面使用方向键移动光标到“返回到操作系统选择菜单”回车，然后出现两个选项：“Microsoft Windows XP Professional” 和 “DOS工具箱”，同样地移动光标到“DOS工具箱”回车，然后会出现一个倒计时，光标停在“Normal Boot”上面，你不要动它，让它自动进入“矮人DOS栋具箱”主界面。然后，依次选择“进入矮人DOS工具盘”回车----将光标移动到“确定（0）”回车----进入“DOS工具箱菜单”----选择“进入DOS命令行”回车，然后就进入纯DOS系统。）

问题出现原因：
装系统时未关自动更新，未关系统还原，未将不断增大的程序、文件夹移出C盘，使用此电脑的人不断装东西在C盘上从而导致C盘的剩余空间过小。