LdrInitializeThunk 解析

最新推荐文章于 2023-08-11 09:00:00 发布
最新推荐文章于 2023-08-11 09:00:00 发布
阅读量1.1w 收藏 10
点赞数 3
分类专栏: Window内核 文章标签: module 数据结构 image dll null exe

  1. LdrInitializeThunk()
        Windows 的 DLL 装入(除 ntdll.dll 外)和连接是通过 ntdll.dll 中的一个函数LdrInitializeThunk()实现的.
        在进入这个函数之前,目标 EXE 映像已经被映射到当前进程的用户空间,系统 DLL ntdll.dll 的映像也已经被映射, 但是并没有在 EXE 映像与 ntdll.dll 映像之间建立连接(实际上EXE 映像未必就直接调用 ntdll.dll 中的函数)。
        LdrInitializeThunk()是 ntdll.dll 中不经连接就可进入的函数,实质上就是 ntdll.dll 的入口。除 ntdll.dll 以外,别的 DLL 都还没有被装入(映射)。此外,当前进程(除内核中的“进程控制块”EPROCESS 等数据结构外)在用户空间已经有了一个“进程环境块”PEB,以及该进程的第一个“线程环境块”TEB。这就是进入__true_LdrInitializeThunk()前的“当前形势”。
    VOID STDCALL
    __true_LdrInitializeThunk (ULONG Unknown1, ULONG Unknown2,
                             ULONG Unknown3, ULONG Unknown4)
    {
       . . . . . .

       DPRINT("LdrInitializeThunk()/n");
       if (NtCurrentPeb()->Ldr == NULL || NtCurrentPeb()->Ldr->Initialized == FALSE)
       { 
            Peb = (PPEB)(PEB_BASE);            //进程环境块
           DPRINT("Peb %x/n", Peb); 
            ImageBase = Peb->ImageBaseAddress; //EXE 映像在用户空间的起点
            . . . .
           /* Initialize NLS data *           //语言本地化有关
           RtlInitNlsTables (Peb->AnsiCodePageData, Peb->OemCodePageData,
                             Peb->UnicodeCaseTableData, &NlsTable);
           RtlResetRtlTranslations (&NlsTable);

           NTHeaders = (PIMAGE_NT_HEADERS)(ImageBase + PEDosHeader->e_lfanew);
           . . . . . .
           /* create process heap */ 
            //创建一个堆、 及其第一个区块,其初始的大小来自映像头部的建议值,其中 SizeOfHeapReserve 是估
             计的最大值,SizeOfHeapCommit是初始值,这是在编译/连接时确定的。
           RtlInitializeHeapManager();
           Peb->ProcessHeap = RtlCreateHeap(HEAP_GROWABLE, NULL, 
                                NTHeaders->OptionalHeader.SizeOfHeapReserve, 
                                NTHeaders->OptionalHeader.SizeOfHeapCommit, 
                                NULL, NULL); 
            /* create loader information */ 
           //PEB 中的 ProcessHeap 字段指向本进程用户空间可动态分配的内存区块“堆”
            Peb->Ldr = (PPEB_LDR_DATA)RtlAllocateHeap (Peb->ProcessHeap,
                                                      0,
                                                      sizeof(PEB_LDR_DATA));
           . . . . . . 
           /*    PEB 中的另一个字段 Ldr是个 PEB_LDR_DATA 结构指针,所指向的数据结构用来为本进程维持三个“模块”
             队列、即 InLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList。
                 所谓“模块”就是 PE 格式的可执行映像,包括 EXE映像和 DLL 映像.
                 两个模块队列的不同之处在于排列的次序,一个是按装入的先后,一个是按装入的位置(实际上目前ReactOS
              的代码中并未使用这个队列)。
                 每当为本进程装入一个模块、即.exe 映像或 DLL 映像时,就要为其分配/创建一个LDR_MODULE 数据结构,
             并将其挂入 InLoadOrderModuleList。然后,完成对这个模块的动态连接以后,就把它挂入
              InInitializationOrderModuleList 队列.LDR_MODULE 数据结构中有三个队列头,因而可以同时挂在三个队列
             中。
           Peb->Ldr->Length = sizeof(PEB_LDR_DATA);
           Peb->Ldr->Initialized = FALSE;
           Peb->Ldr->SsHandle = NULL;
           InitializeListHead(&Peb->Ldr->InLoadOrderModuleList);
           InitializeListHead(&Peb->Ldr->InMemoryOrderModuleList);
           InitializeListHead(&Peb->Ldr->InInitializationOrderModuleList);

           . . . . . .
           /* add entry for ntdll */
           NtModule = (PLDR_MODULE)RtlAllocateHeap (Peb->ProcessHeap,
                                                            0,
                                                            sizeof(LDR_MODULE));
           . . . . . .
           InsertTailList(&Peb->Ldr->InLoadOrderModuleList,
                                 &NtModule->InLoadOrderModuleList);
           InsertTailList(&Peb->Ldr->InInitializationOrderModuleList,
                                 &NtModule->InInitializationOrderModuleList);
           . . . . . . 
            /* add entry for executable (becomes first list entry) */
           ExeModule = (PLDR_MODULE)RtlAllocateHeap (Peb->ProcessHeap,
                                                            0,
                                                            sizeof(LDR_MODULE));
           . . . . . .
           InsertHeadList(&Peb->Ldr->InLoadOrderModuleList,
                          &ExeModule->InLoadOrderModuleList);
           . . . . . . 
           /*当 CPU从 LdrPEStartup()返回时,EXE 对象需要直接或间接引入的所有 DLL 均已映射到用户空间并已完成连
             接,对 EXE 模块的“启动” 、即初始化也已完成。
              注意在调用 LdrPEStartup()时的参数 ImageBase 是目标 EXE 映像在用户空间的位置
           EntryPoint = LdrPEStartup((PVOID)ImageBase, NULL, NULL, NULL);
           . . . . . .
       }
       /* attach the thread */
       RtlEnterCriticalSection(NtCurrentPeb()->LoaderLock); 
       //目的是调用各个 DLL 的初始化过程,以及对 TLS、即“线程本地存储(Thread Local Storage)”的初始化
        //TLS:有时候又确实需要让每个线程都对于同一个全局变量有一份自己的拷贝,TLS就是为此而设的
        LdrpAttachThread();
       RtlLeaveCriticalSection(NtCurrentPeb()->LoaderLock);
    }


    //注意在调用 LdrPEStartup()时的参数 ImageBase 是目标 EXE 映像在用户空间的位置
    PEPFUNC LdrPEStartup (PVOID ImageBase, HANDLE SectionHandle,
                          PLDR_MODULE* Module, PWSTR FullDosName)
    {
         //PE 映像的 NtHeader 中有个指针,指向一个 OptionalHeader。说是“Optional”,实际上却是关键性的。在 
         //OptionalHeader中有个字段 ImageBase,是具体映像建议、或者说希望被装入的地址
       . . . . . .
       DosHeader = (PIMAGE_DOS_HEADER) ImageBase;
       NTHeaders = (PIMAGE_NT_HEADERS) (ImageBase + DosHeader->e_lfanew);

       /*
        * If the base address is different from the
        * one the DLL is actually loaded, perform any
        * relocation.
        */
       if (ImageBase != (PVOID) NTHeaders->OptionalHeader.ImageBase)
       {
           DPRINT("LDR: Performing relocations/n");
            //ImageBase 是目标 EXE 映像在用户空间的位置
           Status = LdrPerformRelocations(NTHeaders, ImageBase);
           . . . . . .
        }

       if (Module != NULL)
       {
           *Module = LdrAddModuleEntry(ImageBase, NTHeaders, FullDosName);
           (*Module)->SectionHandle = SectionHandle;
        }
       else
       {
           Module = &tmpModule;
           Status = LdrFindEntryForAddress(ImageBase, Module);
           . . . . . .
       }

       . . . . . .

       /*
        * If the DLL's imports symbols from other
        * modules, fixup the imported calls entry points.
        */
    //它所处理的就是当前模块所需DLL模块的装入(如果尚未装入的话)和连接。如前所述,这个函数递归地施行于所有的模块,直至最底层的“叶节点”ntdll.dll为止。
       DPRINT("About to fixup imports/n");
       Status = LdrFixupImports(NULL, *Module);
       if (!NT_SUCCESS(Status))
         {
           DPRINT1("LdrFixupImports() failed for %wZ/n", &(*Module)->BaseDllName);
           return NULL;
         }
       DPRINT("Fixup done/n");

       . . . . . .
       Status = LdrpInitializeTlsForProccess();
       . . . . . .

       /*
        * Compute the DLL's entry point's address.
        */
       . . . . . .
       if (NTHeaders->OptionalHeader.AddressOfEntryPoint != 0)
        {
            EntryPoint = (PEPFUNC) (ImageBase + NTHeaders->OptionalHeader.AddressOfEntryPoint);
        }
       DPRINT("LdrPEStartup() = %x/n",EntryPoint);
       return EntryPoint;
    }
  2. //调用关系[__true_LdrInitializeThunk > LdrPEStartup() > LdrPerformRelocations()]

    typedef struct _IMAGE_DATA_DIRECTORY

         DWORD VirtualAddress; 
         DWORD Size;
    } IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;

    //每个 IMAGE_BASE_RELOCATION 数据结构代表着一个“重定位块” ,每个重定位块的(容器)大小是两个页面(8KB),而 SizeOfBlock 则说明具体重定位块的实际大小。这实际的大小中包括了这 IMAGE_BASE_RELOCATION数据结构本身。
    typedef struct _IMAGE_BASE_RELOCATION

         DWORD VirtualAddress; 
         DWORD SizeOfBlock;
    } IMAGE_BASE_RELOCATION,*PIMAGE_BASE_RELOCATION;


    static NTSTATUS
    LdrPerformRelocations(PIMAGE_NT_HEADERS NTHeaders, PVOID ImageBase)
    {
    . . . . . .
    //PE 映像的 OptionalHeader 中有个大小为 16 的数组 DataDirectory[],其元素都是“数据目录” 、即IMAGE_DATA_DIRECTORY 数据结构:其中之一(下标为 5)就是“重定位目录” ,这是一个IMAGE_BASE_RELOCATION结构数组。

    RelocationDDir =&NTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
    . . . . . .

    ProtectSize = PAGE_SIZE;
    //所谓重定位,就是计算出实际装入地址与建议装入地址间的位移 Delta,然后调整每个重定位块中的每一个重定位项、即指针,具体就是在指针上加 Delta
       Delta = (ULONG_PTR)ImageBase - NTHeaders->OptionalHeader.ImageBase;
    //IMAGE_BASE_RELOCATION结构数组
    RelocationDir = (PIMAGE_BASE_RELOCATION)((ULONG_PTR)ImageBase + RelocationDDir->VirtualAddress);
    RelocationEnd = (PIMAGE_BASE_RELOCATION)((ULONG_PTR)ImageBase + RelocationDDir->VirtualAddress + 
                                                                       RelocationDDir->Size);

    while (RelocationDir < RelocationEnd && RelocationDir->SizeOfBlock > 0)
       {
          Count = (RelocationDir->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(USHORT);
          Page = ImageBase + RelocationDir->VirtualAddress;
          TypeOffset = (PUSHORT)(RelocationDir + 1);

          /* Unprotect the page(s) we're about to relocate. */
          ProtectPage = Page;
          Status = NtProtectVirtualMemory(NtCurrentProcess(), &ProtectPage,
                                  &ProtectSize, PAGE_READWRITE, &OldProtect);
          . . . . . .

          if (RelocationDir->VirtualAddress + PAGE_SIZE < NTHeaders->OptionalHeader.SizeOfImage)
           {
              ProtectPage2 = ProtectPage + PAGE_SIZE;
              Status = NtProtectVirtualMemory(NtCurrentProcess(), &ProtectPage2,
                                  &ProtectSize, PAGE_READWRITE, &OldProtect2);
              . . . . . .
           }
          else
           {
              ProtectPage2 = NULL;
           }
    //具体的指针调整是由 LdrProcessRelocationBlock() 完成的,此前和此后的NtProtectVirtualMemory()只是为了先去除这些指针所在页面的写保护,而事后加以恢复。
          RelocationDir = LdrProcessRelocationBlock(Page, Count, TypeOffset, Delta);
          . . . . . .

          /* Restore old page protection. */
          NtProtectVirtualMemory(NtCurrentProcess(),&ProtectPage,
                                 &ProtectSize, OldProtect, &OldProtect);

          if (ProtectPage2 != NULL)
            {
              NtProtectVirtualMemory(NtCurrentProcess(), &ProtectPage2,
                                     &ProtectSize, OldProtect2, &OldProtect2);
            }
        }

    return STATUS_SUCCESS;
    }

hw_henry2008
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对TLS底层实现的详解
For Geek
05-12 2036
我在之前的博客里并未提及过Tls的底层初始化,现在好好来谈谈。 首先我们要知道Tls的初始化是在入口之前。先从一开始的LdrInitializeThunk说起,在调用LdrPEStartup时,其在修复完导入表后,调用了一次LdrpInitializeTlsForProccess,我们看看他是怎样处理的。 static NTSTATUS LdrpInitializeTlsForProccess(V...
DLL装载的实现
For Geek
05-11 1362
Dll装载的实现 Dll装载主要由LdrInitializeThunk函数实现,具体如下 typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList;//链表 LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; PVOI...
内核模式到用户模式的回调函数----这篇文章是十年前国外大牛写的
商少
10-23 7820
内核模式到用户模式的回调函数http://www.nynaeve.net/?p=200        NTDLL 拥有一些特定的函数被内核用来代表用户模式执行特定的功能。尽管理解这些函数对于特定的功能(比如用户模式APC)的底层实现的理解是有用的,这些函数提供的功能非常的简单。        下面是一些NTDLL导出的,内核用于与用户模式通讯的函数: 1.KiUserExceptionDis
加密与解密:注入
weixin_49777720的博客
03-16 372
文章目录DLL注入放发通过干预输入表处理过程加载目标DLL静态修改PE输入标法进程创建期修改PE输入表法输入表项DLL替换法改变程序运行流程使其主动加载目标DLLCreateRemote Threadz法利用系统机制加载DLL DLL是Windows平台提供的一种模块共享和重用机制,它本身不能直接独立执行,但可以被加载到其他进程中间执行,对灵活实现各种补丁功能非常有帮助。 DLL注入放发 程序加载DLL时间: 在进程创建阶段加载(静态输入) 调用LoadLibrary主动加载(动态加载) 由于系统机制的要
windows内核情景分析---进程线程1
mmmsss987的博客
06-23 568
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 一、进程的启动过程: BOOLCreateProcess ( LPCTSTRlpApplicationName,// LPTSTRlpCommandLine,//commandlinestring LPSECURITY_ATTRI...
windows进程/线程创建过程 --- windows操作系统学习
weixin_33947521的博客
12-06 604
有了之前的对进程和线程对象的学习的铺垫后,我们现在可以开始学习windows下的进程创建过程了,我将尝试着从源代码的层次来分析在windows下创建一个进程都要涉及到哪些步骤,都要涉及到哪些数据结构。   1. 相关阅读材料 《windows 内核原理与分析》 --- 潘爱民 《深入解析windows操作系统(第4版,中文版)》 http://bbs.pediy.com/showthre...
软件逆向高级工程
09-08
前言最近随着计算机的发展,软件日益更新,有很多公司发布的产品遭到篡改和破解,在总众多年的历史种逐渐形成了软件保护与软件破解之间的对抗产生了软件逆向工程这本门技术将在如下的课程讲解各种软件逆向知识,软件保护知识,已经破解脱壳反调试知识,为初期学软件逆向不懂而又迷茫的同学门指明一条道路此套课堂能有效帮助同学们解决软件逆向中所遇到的大部分问题大纲软件逆向工程高级班分为反调试篇汇编篇算法篇补丁篇HOOK篇将在如上这几篇对软件逆向的各个方面进行详解,包括网络验证的分析思路,封包算法的提取,以及各种软件保护技术,无论哪一篇都会从诸多个方面的细节进行详解反调试篇:分为PEB,时间校验,CRC,NtQuery函数,内核过渡等知识要领与诸多方面的综合性详解,细节分为每一节课,每一节课目标清晰无比,每一节深入精髓进行讲解!汇编篇:一个程序编译完成之后是如何通过在计算机运行起来的,其中少不了底层知识的汇编指令,汇编篇中将深入浅出的带领同学们对MASM32SDK的一套汇编库中开发程序,熟悉汇编的原理,如何运用汇编写出一套花指令,并且去除指令,方便以后的算法学习以及为今后的学习打下坚实的基础算法篇:随着编程语言的发展,编程语言的标准也在发展,一些编译器善于运用数学的手法,对程序进行各种优化,然后我们进行分析,我们得需要一步步还原这个优化或清晰了解这个优化才有可能掌握这个数学模型优化,进一步还原代码,算法篇知识要领将在优化,技巧这方面表现的玲离尽致!此篇会带领同学们分析多个语言的算法,包括C/C++算法还原代码还原易语言代码还原 算分开库的实现,制作自己的第一个注册机等!补丁篇:说到补丁,同学们可能第一个想到的就是对方一些网络验证所用到的技巧,我的课程这一方面虽有涉及,但是补丁技术远远不止这一点,我的课程会详解更多的补丁知识原理,包括什么是补丁,补丁的真正概念,前辈们是如何善用补丁对程序的漏洞进行修补损坏的程序。将在此篇一一介绍HOOK篇:详细详解了各种HOOK的原理以及实现代码,包括网上流行所说的超级HOOK,COMHOOK,协议HOOK,代理中转等方法,怎么定位关键位置,环境的保存知识要领,hook关键的注意事项,为自己以后做hook行业打下坚实的基础课程每一个细节讲究的深入骨髓,通俗易懂的学习方式,全程贯彻原理,软件逆向中必不可少少的教程!
DLL注入技术
最新发布
Karka_的博客
08-11 317
DLL是windows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1045
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
逆向入门-反调试
AppWhite_Star的博客
07-30 2026
逆向基础-反调试专题
Windows 8的用户模式Shim Engine小探及利用
dengliang7440的博客
03-29 835
转载:https://bbs.pediy.com/thread-175483.htmWindows Shim Engine,即Windows 兼容性模式实现引擎,在exe文件的属性对话框中有一个兼容性选项卡,用户可设置此exe程序完美工作的系统版本,Windows会尝试模拟老的系统环境运行此程序。那Windows是如何模拟的呢?Windows认为老程序出问题的原因在于它们调用的API上,...
Load and Unload
求索
12-23 953
Load and Unload
后门权限维持php,DoubleAgent技术:任意进程下代码注入与权限维持
weixin_36012511的博客
03-29 237
概述本文披露一种全新的0day技术,用于代码注入和权限维持。影响范围Windows的所有版本(windows xp到windows 10)所有windows架构(x86和x64)Windows所有权限(system/administrator)每个目标进程,包括特权进程(OS/Antivirus等)DoubeleAgent所利用的是一个未被windows公开的技术,该技术已经存在了15年,所以目前...
Windows DLL基本原理
helloworld201456的专栏
06-09 4379
Windows DLL基本原理 Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Microsoft
漫谈兼容内核之七:Wine的二进制映像装入和启动
周寅的专栏
03-13 2250
  上一篇漫谈中介绍了几种二进制可执行映像的识别方法,而识别的目的当然是为了要装入并启动这些映像的执行。映像的装入和启动一般总是和创建进程相连系,所以本来就是个相当复杂的过程。而对于Wine,则在进程创建方面又增添了一些额外的复杂性。    为什么呢?我们这样来考虑:在Windows或ReactOS中,创建进程是由CreateProcessW()完成的,系统中的“始祖”进程就是个Windows进程
Windows Ring3层注入——注入相关知识(零)
qq_38493448的博客
01-16 916
Windows Ring3层注入——注入相关知识(零)定义需要注入的几种情况注入时机静态输入动态加载加载服务模块注入方法概括说明注入方式原理通过干预输入表处理过程加载目标DLL改变程序运行流程主动加载DLL利用系统机制加载DLL几种常见的注入方式静态注入:动态加载:加载服务模块: 定义 注入就是迫使第三方进程非自愿加载某个模块(DLL)。 需要注入的几种情况 1.想要从另一个进程创建窗口派生子类窗...
拦截进程创建(不会卡死桌面)
kingswb的博客
05-23 1263
标 题: 【原创】拦截进程创建(不会卡死桌面) 作 者: bycon 时 间: 2011-01-28,16:44:32 链 接: http://bbs.pediy.com/showthread.php?t=128733 菜鸟作品,大牛请无视。如有错误或纰漏,望指出   之前看过很多关于进程创建的拦截,都是勾在NtCreateProcess或者NtCreateSection上,拦截到
【旧文章搬运】加载PE文件时IAT的填充时机
weixin_30251829的博客
12-27 210
原文发表于百度空间,2011-06-20========================================================================== 大致过程如下: LdrInitializeThunk //ring3线程第一次执行从这里开始 ->LdrpInitialize ->_LdrpInitialize ->LdrpIn...
LdrInitializeThunk
07-10
`LdrInitializeThunk`是Windows操作系统中的一个函数,它是在用户空间执行的第一个函数,用于初始化应用程序或DLL(动态链接库)的加载过程。 具体而言,`LdrInitializeThunk`函数是在应用程序或DLL的入口点函数(例如`WinMain`或`DllMain`)之前被调用的。它的主要功能是执行一些初始化操作,例如设置线程环境、初始化堆栈和数据结构等。 在内部实现上,`LdrInitializeThunk`函数会调用操作系统的加载器(Loader)来加载应用程序或DLL,并为其创建一个新的执行上下文。加载器负责解析导入表、分配内存、加载依赖的模块等任务。 总之,`LdrInitializeThunk`函数是Windows加载过程中的一个重要环节,它为应用程序或DLL提供了必要的初始化环境,确保它们能够正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值