Как найти подмену функций в DLL через Dependency Walker: практическое руководство

Автор На чтение 12 мин Просмотров 1 Опубликовано

Вы столкнулись с тем, что программа работает некорректно, вылетает или, что ещё хуже, показывает подозрительное поведение, хотя код вроде бы чистый? В мире разработки и администрирования это часто сигнализирует о том, что одна из библиотек (.dll), от которых зависит ваше приложение, была изменена. Не всегда это делают злоумышленники — иногда это результат неудачного обновления или конфликта версий, но результат один: вы теряете контроль над тем, что именно исполняется в памяти.

Вам нужно понять, что происходит «под капотом». Вы знаете, что файл существует, он загружается, но вы не видите, какие именно функции он предоставляет и не «подменяются» ли они. Именно здесь на сцену выходит Dependency Walker (или его современный аналог, о котором мы поговорим позже). Это инструмент, который позволяет заглянуть внутрь DLL и увидеть список импортируемых и экспортируемых функций. Если кто-то подменил файл на вредоносный, он часто меняет структуру экспортов или импортов, чтобы скрытно вызвать свой код.

Эта статья не про теорию компиляции. Это инструкция для тех, кто хочет прямо сейчас открыть подозрительный файл, найти в нём подмену и понять, почему программа ведёт себя странно. Мы разберем, как отличить нормальный файл от изменённого, на что смотреть в интерфейсе утилиты и как избежать ложных срабатываний.

Содержание
  1. Почему DLL подменяют и что вы увидите
  2. Выбор инструмента: классика против современности
  3. Пошаговый разбор: как проверить файл
  4. Шаг 1. Запуск и загрузка файла
  5. Шаг 2. Анализ экспортов (Exported Functions)
  6. Шаг 3. Сравнение «было / стало»
  7. Таблица: что означают значки в Dependency Walker
  8. Типичные ошибки при проверке
  9. Ошибка 1: Паника из-за отсутствующих системных библиотек
  10. Ошибка 2: Игнорирование хэшей
  11. Ошибка 3: Путаница между x86 и x64
  12. Как провести глубокую проверку (Situational Guide)
  13. Сценарий А: «Функция есть, но ведёт себя странно»
  14. Сценарий Б: «Отсутствует цифровая подпись»
  15. Сценарий В: «Анализ на лету» (Процессный анализ)
  16. Практические рекомендации
  17. Чек-лист: когда файл точно подменён
  18. Что делать, если вы нашли подмену?
  19. Итоги

Почему DLL подменяют и что вы увидите

Прежде чем открывать программу, важно понимать, что именно мы ищем. Подмена DLL — это когда злоумышленник или неосторожный скрипт заменяет легитимный файл-библиотеку на свой. Часто это делается двумя способами:

  • Манипуляция экспортами: В оригинальной библиотеке есть функция CreateFile, которая создаёт файл. В поддельной этой функции может не быть вовсе, или она может быть заменена на функцию с похожим именем, которая, например, сначала отправляет данные по сети, а потом создаёт файл.
  • Изменение импортов: Библиотека может начать вызывать функции из других, подозрительных DLL, которых раньше не было. Это признак того, что файл «присоединился» к вредоносной цепочке.

Dependency Walker рисует дерево зависимостей. Он показывает, из каких файлов программа берёт команды и какие команды она отдаёт наружу. Если вы видите «красные» ошибки, пропущенные функции или библиотеки, которых не должно быть в окружении, — это повод насторожиться.

Выбор инструмента: классика против современности

Тема заголовка — Dependency Walker. Но есть нюанс. Классический Dependency Walker (depends.exe) — легендарный инструмент, который десятилетиями был стандартом. Однако он 32-битный и перестал обновляться много лет назад. На современных Windows 10/11 он работает нестабильно: может некорректно отображать модули для x64 программ или выдавать кучу ложных ошибок из-за отсутствия драйверов защиты.

Поэтому, если вы работаете на современной системе, вам нужно знать, что есть Dependencies (от автора Chris MacNaughton) — это форк оригинальной утилиты. Он выглядит так же, поддерживает современные форматы PE-файлов и не вываливается при попытке открыть 64-битные DLL.

Важно: В этой статье мы будем описывать логику работы, которая идентична для обоих инструментов. Интерфейс у них практически один в один. Если у вас старый depends.exe на Windows 7 — всё будет работать. Если Windows 10/11 — настоятельно рекомендую скачать версию Dependencies, чтобы не тратить время на отладку самого анализатора.

Пошаговый разбор: как проверить файл

Давайте перейдём к практике. Представьте, что у вас есть файл app.dll, и вы подозреваете, что он подменён. У вас есть его оригинальная версия (например, на бэкапе или на официальном сайте), и есть та, что сейчас лежит на диске. Вот как действовать.

Шаг 1. Запуск и загрузка файла

Запустите утилиту от имени администратора. Это критично, так как программа может попытаться прочитать системные библиотеки, доступ к которым закрыт обычному пользователю. В меню выберите File > Open (или просто перетащите файл в окно программы).

Сразу обратите внимание на дерево слева. Самый верхний элемент — это сам ваш файл app.dll. Ниже него — ветка «импортированные модули». Это библиотеки, которые app.dll использует для работы. Если вы видите здесь странные имена файлов, которых нет в папке с программой (например, evil_lib.dll или системные файлы с подозрительными путями), это первый признак беды.

Шаг 2. Анализ экспортов (Exported Functions)

Самое важное при проверке на подмену — это раздел экспортов. Нажмите на иконку экспорта (обычно это значок со стрелкой, направленной от файла, или вкладка в нижней части окна). Здесь список всех функций, которые эта DLL может вызывать другие программы.

Если DLL подменена, структура списка может измениться:

  • Функции оригинального файла исчезли.
  • Появились новые функции, которых не должно быть (например, функции для работы с сетью в библиотеке, которая должна работать только с графикой).
  • Смещение (Ordinal) функций изменилось, хотя имена остались прежними.

Сценарий из жизни: Вы проверяете библиотеку шрифтов. В оригинале у неё 50 экспортов, и все они начинаются с Font_. В подозрительном файле вы видите те же 50, но в конце списка добавлена функция SendDataToServer. Это классический признак вредоносного кода, внедрённого в легитимную структуру.

Шаг 3. Сравнение «было / стало»

Вручную сравнивать списки функций — утопия. Вы утонете в сотнях строк. Вот как это делают профессионалы:

  1. Откройте оригинальный файл в утилите, перейдите во вкладку экспортов и нажмите Edit > Copy to Clipboard (или сохраните как текстовый файл).
  2. Откройте подозрительный файл и сделайте то же самое.
  3. Используйте любой текстовый редактор с функцией сравнения (WinMerge, Beyond Compare, или встроенный в VS Code) для сравнения двух текстовых файлов.

Инструмент подсветит отличия. Если вы увидите, что ordinal (порядковый номер) функции сместился, но имя осталось — это может быть пересборка. Если имена изменились — это подмена. Если список стал короче или длиннее — это тревожный звонок.

Таблица: что означают значки в Dependency Walker

При работе вы увидите множество иконок. Не все они страшные, но игнорировать их нельзя. Вот расшифровка основных цветов и символов, которые помогут вам быстро сориентироваться.

Значок / Цвет Значение Риск подмены
Желтый восклицательный знак Отсутствует модуль (Missing module). Программа ищет DLL, но не может её найти. Средний. Часто это просто удалённая системная библиотека, но может быть и попытка подмены путей.
Красный круг Ошибка загрузки модуля (Load error). DLL существует, но не может быть загружена из-за защиты или битых данных. Высокий. Если файл с подписью, но ошибка загрузки — его могли модифицировать, и подпись «сломалась».
Серый квадрат Файл существует, но не содержит экспортов. Низкий. Часто это файлы ресурсов, которые не исполняются, а только читаются.
Синяя стрелка Функция экспортируется. Это «позитивный» значок. Нейтральный. Главное — сравнивать, какие именно функции экспортируются.
Модуль ADVAPI32 или MSVCRT с ошибками Критическая ошибка системных библиотек. Высокий. Если вы работаете на чистом Windows, системные библиотеки не должны показывать ошибки. Это значит, что система заражена.

Типичные ошибки при проверке

Даже опытные инженеры иногда спотыкаются при анализе. Вот самые частые ловушки, в которые вы можете попасть, и как их обойти.

Ошибка 1: Паника из-за отсутствующих системных библиотек

Вы открываете файл и видите красные ошибки на OLE32 или KERNEL32. Сразу думаете, что файл подменён. Стоп. Классический Dependency Walker часто не может найти системные файлы на Windows 7/10/11, потому что они имеют специфические пути или защищены. Это ложное срабатывание. Если вы видите ошибки только в системных модулях, а в вашем целевом файле всё чисто — это проблема инструмента, а не файла.

Ошибка 2: Игнорирование хэшей

Dependency Walker показывает структуру, но не криптографическую целостность. Файл может иметь идеальную структуру экспортов (все функции на месте), но внутри них может быть изменён код. Инструмент не покажет вам бинарный код внутри функции. Он покажет только «портрет» файла. Если вам нужна 100% гарантия, нужно сверять хэш-суммы (MD5/SHA256) с оригиналом. Dependency Walker — это «рентген» структуры, а не химический анализ вещества.

Ошибка 3: Путаница между x86 и x64

Если вы попытаетесь открыть 64-битную DLL в 32-битной версии утилиты, вы получите ошибку или «мусор». Всегда проверяйте архитектуру файла. В свойствах файла в Windows (вкладка «Подробно») посмотрите «Тип». Если это x64, а утилита 32-битная — результат анализа будет некорректным.

Сценарий выбора:

  • Если файл системный (находится в C:\Windows\System32): Используйте Dependencies (64-битную версию). Классический инструмент может выдать ошибки, которых нет на самом деле.
  • Если файл кастомный (ваша разработка): Любая версия подойдёт, но лучше использовать ту же версию, на которой вы отлаживали проект.

Как провести глубокую проверку (Situational Guide)

Иногда простого взгляда на список экспортов недостаточно. Злоумышленники могут сделать подмену «невидимой» для стандартного просмотра. Вот продвинутые сценарии действий.

Сценарий А: «Функция есть, но ведёт себя странно»

Вы видите функцию DoWork, она экспортируется, но программа падает при её вызове. В Dependency Walker это не отобразится, так как утилита не запускает код. В этом случае вам нужно проверить Import Address Table (IAT). В окне утилиты переключитесь на режим просмотра импортов. Посмотрите, откуда функция DoWork пытается вызывать другие функции. Если она вызывает Socket или RegOpenKey, а должна только рисовать интерфейс — это подмена логики. Злоумышленник мог не менять имя функции, но «подшить» внутрь неё вызов вредоносной логики.

Сценарий Б: «Отсутствует цифровая подпись»

Если файл, который вы проверяете, должен быть подписан (например, драйвер или антивирусное дополнение), Dependency Walker сам по себе не проверит подпись. Но он покажет, если файл был изменён. Подписанный файл при изменении теряет валидность. Если вы видите, что структура файла в утилите соответствует оригиналу, но файл не подписан — он был модифицирован. Нужно нажать правой кнопкой мыши на файл, выбрать «Свойства» -> «Цифровые подписи» и проверить их наличие.

Сценарий В: «Анализ на лету» (Процессный анализ)

Иногда подмена происходит динамически (DLL подгружается в память программно, а не с диска). Стандартный Dependency Walker анализирует статический файл. Если вам нужно поймать подмену в момент работы программы, используйте функцию File > Select Process. Выберите запущенное приложение, и утилита покажет все DLL, которые уже загружены в его память. Если вы видите там библиотеку с именем test.dll, которая не должна там быть, или версия отличается от файла на диске — вы поймали подмену в действии.

Практические рекомендации

На основе опыта работы с тысячами файлов, вот список правил, которые помогут вам действовать быстро и точно.

  1. Всегда имейте «чистый эталон». Невозможно понять, что файл подменён, если вы не знаете, как он должен выглядеть. Сохраняйте оригинальные DLL в отдельную папку с контрольными суммами сразу после установки программы.
  2. Не надейтесь только на визуальный осмотр. Человеческий глаз не способен заметить смещение на одну строку в списке из 500 функций. Пишите скрипты или используйте скрипты сравнения для пакетной проверки.
  3. Обращайте внимание на версию. В списке экспортов часто указана версия файла. Если программа требует v2.0, а вы видите v1.0 или v1.0b — это повод проверить, не является ли это откатом на старую, уязвимую версию.
  4. Смотрите на путь загрузки. В процессном анализе (когда программа запущена) проверяйте, откуда именно загружена DLL. Если она загружается из AppData\Temp или ProgramData, а должна быть в Program Files — это 99% вирус.
  5. Используйте «тихий режим». Если вы проверяете файлы в автоматическом режиме (скриптом), добавьте ключи командной строки, чтобы утилита не вываливала лишние сообщения об ошибках.

Чек-лист: когда файл точно подменён

Проанализируйте файл по этим пунктам. Если совпало хотя бы 2-3 пункта, файл следует считать скомпрометированным и удалить/заменить.

Критерий Нормальное состояние Признак подмены
Список экспортов Функции соответствуют документации или оригинальному файлу. Появились функции с именами, не связанными с задачей (сеть, реестр, ввод).
Системные зависимости Зависит только от стандартных библиотек Windows. Зависит от кастомных DLL, которые не лежат в той же папке.
Размер файла Соответствует эталону. Различается на несколько килобайт (даже 1 байт важен).
Время модификации Совпадает с датой установки. Изменено в момент, когда программа не запускалась.
Цифровая подпись Присутствует и валидна. Отсутствует или помечена как «недействительная».

Что делать, если вы нашли подмену?

Если вы убедились, что файл подменён, не медлите. Просто удаления файла недостаточно, так как вредоносный код мог уже запуститься или записать свои данные в реестр.

1. Изолируйте систему. Отключите интернет, чтобы вредоносный код не отправил украденные данные.

2. Замените файл. Используйте «чистый эталон», который вы сохранили ранее. Если его нет, скачайте оригинал с официального сайта разработчика.

3. Проверьте реестр. Вредоносные DLL часто прописывают себя в автозагрузку через реестр. Проверьте разделы HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и аналогичные.

4. Сканируйте систему. Запустите полноценную проверку антивирусом, так как замена DLL — это симптом, а не болезнь. Заражение произошло где-то раньше.

Итоги

Проверка файлов .dll на подмену через Dependency Walker — это не магия, а методичный анализ структуры. Инструмент позволяет увидеть «скелет» файла: какие функции он предоставляет и от кого зависит. Если вы видите, что функционал «скелета» не соответствует ожидаемому — перед вами подмена.

Помните, что утилита — это инструмент, а не решение. Она показывает факты (есть функция или нет), но интерпретировать их должен вы. Не пугайтесь красных ошибок в системных библиотеках, но будьте предельно внимательны к появлению новых экспортов и изменению зависимостей вашего файла. Если вы видите несоответствие — доверяйте цифрам и хэш-суммам, а не надежде, что «просто так не бывает».

Главное правило: всегда держите под рукой чистую копию файлов. Без эталона сравнения работа с Dependency Walker превращается в гадание на кофейной гуще.

Информация в этой статье носит ознакомительный характер. Использование инструментов анализа для взлома чужих систем или обхода защиты может нарушать законодательство. Проводите проверку только файлов, принадлежащих вам или системы, которой вы управляете легитимно.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком