我想知道当我使用 注册 DLL 时regsvr32,regsvr32 创建的那些条目驻留在何处。regsvr32 是否会将 DLL 复制到 windows/dll 文件夹中?
答案1
regsvr32 基本上在 DLL 中调用 LoadLibrary 然后调用 DllRegisterServer。因此实际行为取决于 DLL 的编码方式。
大多数 DLL 没有 DllRegisterServer 函数,如 Visual C++ 运行时或大多数 Windows DLL,因此 regsvr32 无法在它们上运行。对于那些确实有的 DLL,通常的预期是 DLL 托管主类型的 COM 服务器,并且为了找到服务器,COM 需要在注册表中拥有其位置和功能。因此,当您在进程监视器中监视 regsvr32 时,通常您会看到大多数注册表写入。
尽管如此,恶意的 DllRegisterServer 可以对您的计算机执行任何操作。例如,这是一个启动安装程序的程序(https://securityliterate.com/chantays-resume-investigating-a-cv-themed-zloader-malware-campaign/)。