質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.37%
Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

Q&A

解決済

1回答

1154閲覧

メモ帳がntCreateFileをimportしているのが確認できません

KOTTON

総合スコア47

Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

0グッド

0クリップ

投稿2021/07/11 01:23

編集2021/07/11 10:33

質問

Windows10標準で入っているNotepad(メモ帳)は、ntdll.dllからntCreateFile関数をimportしていると聞きました。

そこでNotepadをPE bearというソフトで解析したところ、なぜかimportの枠にntdll.dllが表示されませんでした。(画像)
(この下も一応dll一覧が続きますが、ntdll.dllは存在しませんでした。)
イメージ説明

また、NotepadをCheat Engineにアタッチしdissect PE headersしたところ、ntdll.dllを使用していることだけは確認できました。

なぜPE bearでは確認できないのでしょうか?Notepadが巧妙に隠しているんでしょうか?
また、確認できる方がいらっしゃれば方法を教えていただきたいです。

追記

x64dbgなら確認できました。

x64dbg

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

Visual Studio 2017のdumpbin.exeで確認してみました

dumpbin.exe /DEPENDENTS c:\Windows\system32\notepad.exe

を実行したところ、notepad.exeが直接依存しているdllの一覧内に「ntdll.dll」はありませんでした

上記で確認できた、notepad.exeが依存しているdllの中に「USER32.dll」がありますので、

dumpbin.exe /DEPENDENTS c:\Windows\system32\user32.dll

を実行したところ、依存しているdllの一覧内に「ntdll.dll」がありました

notepad.exeは、間接的に「ntdll.dll」に依存しているようです

質問者さんが確認に使ったツールの詳細は知りませんが、間接的に依存している場合に分析結果に表示されるかどうかが、ツールによって異なるのではないでしょうか

 
【追記】
dumpbin.exe /exports c:\Windows\System32\ntdll.dll
の結果の一部
dumpbin /exports c:\Windows\System32\ntdll.dll の結果の一部

投稿2021/07/11 05:23

編集2021/08/12 09:47
jbpb0

総合スコア7653

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

jbpb0

2021/07/11 05:40

dumpbin.exe /IMPORTS c:\Windows\system32\notepad.exe を実行したところ、notepad.exeがdllからインポートしている関数の一覧内に「ntCreateFile」はありませんでした 名前が近いものを探すと、「KERNEL32.dll」からインポートしている「CreateFileW」と「CreateFileMappingW」というものはありましたけど
KOTTON

2021/07/11 10:30 編集

なるほどです、間接的に依存しているんですね... 他のツールも試したのですが、静的解析だと間接的なものまでは見れないのかもしれません、おそらく。 また、x64dbgをアタッチして、"シンボル"タブを見たところ、ntdllとntCreateFileのインポートが確認できました。画像を追記しておきます。
jbpb0

2021/08/12 09:44 編集

> ntCreateFileのインポートが確認できました。 質問に追加された画像の右半分は、「Type」に「EXPORT」って書いてありますよね そのツールの詳細は知りませんが、それは単にdllがエクスポートしてるものの一覧が表示されてるのであって、notepad.exeがdllからインポートしてるかどうかとは関係無いのでは?? dumpbin.exe /exports c:\Windows\System32\ntdll.dll を実行した結果の近いところをキャプチャした画像を回答にアップしましたけど、ほとんど同じですよね
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.37%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問