Q&A
https://github.com/hasherezade/pe-bear-releases/issues
ここで聞けばいいじゃん。
質問
Windows10標準で入っているNotepad(メモ帳)は、ntdll.dllからntCreateFile関数をimportしていると聞きました。
そこでNotepadをPE bearというソフトで解析したところ、なぜかimportの枠にntdll.dllが表示されませんでした。(画像)
(この下も一応dll一覧が続きますが、ntdll.dllは存在しませんでした。)
また、NotepadをCheat Engineにアタッチしdissect PE headersしたところ、ntdll.dllを使用していることだけは確認できました。
なぜPE bearでは確認できないのでしょうか?Notepadが巧妙に隠しているんでしょうか?
また、確認できる方がいらっしゃれば方法を教えていただきたいです。
追記
x64dbgなら確認できました。
回答1件
0
ベストアンサー
Visual Studio 2017のdumpbin.exeで確認してみました
dumpbin.exe /DEPENDENTS c:\Windows\system32\notepad.exe
を実行したところ、notepad.exeが直接依存しているdllの一覧内に「ntdll.dll」はありませんでした
上記で確認できた、notepad.exeが依存しているdllの中に「USER32.dll」がありますので、
dumpbin.exe /DEPENDENTS c:\Windows\system32\user32.dll
を実行したところ、依存しているdllの一覧内に「ntdll.dll」がありました
notepad.exeは、間接的に「ntdll.dll」に依存しているようです
質問者さんが確認に使ったツールの詳細は知りませんが、間接的に依存している場合に分析結果に表示されるかどうかが、ツールによって異なるのではないでしょうか
【追記】
dumpbin.exe /exports c:\Windows\System32\ntdll.dll
の結果の一部
投稿2021/07/11 05:23
編集2021/08/12 09:47
総合スコア7653
dumpbin.exe /IMPORTS c:\Windows\system32\notepad.exe
を実行したところ、notepad.exeがdllからインポートしている関数の一覧内に「ntCreateFile」はありませんでした
名前が近いものを探すと、「KERNEL32.dll」からインポートしている「CreateFileW」と「CreateFileMappingW」というものはありましたけど
なるほどです、間接的に依存しているんですね...
他のツールも試したのですが、静的解析だと間接的なものまでは見れないのかもしれません、おそらく。
また、x64dbgをアタッチして、"シンボル"タブを見たところ、ntdllとntCreateFileのインポートが確認できました。画像を追記しておきます。
> ntCreateFileのインポートが確認できました。
質問に追加された画像の右半分は、「Type」に「EXPORT」って書いてありますよね
そのツールの詳細は知りませんが、それは単にdllがエクスポートしてるものの一覧が表示されてるのであって、notepad.exeがdllからインポートしてるかどうかとは関係無いのでは??
dumpbin.exe /exports c:\Windows\System32\ntdll.dll
を実行した結果の近いところをキャプチャした画像を回答にアップしましたけど、ほとんど同じですよね
あなたの回答
tips
プレビュー
