前面分析到ntdll中加载了kernel32,然后调用了kernel32的初始化函数__wine_kernel_init。该函数的实现在dlls/kernel32/process.c中。内容较多,就不完整截图了
首先函数开始获取了需要加载的windows应用的路径名,这个就是在开始执行的命令的微信的绝对路径,在wine中一般为“/home/username/.wine/drive_c/Programfile/Tencent/WeChat/WeChat.exe”
这个值在wine开始时将其放入全局变量,使用时还做了一些字符编码格式的处理
__wine_main_argc = argc;
__wine_main_argv = argv;
还有需要注意的是之前创建的PEB,TEB在这个过程中会不断的完善数据,而且需要是使用,比如这里也将路径写入了PEB。
得到了可执行文件的路径,接下来就是加载的具体实现。
部分函数代码如下图所示:
LoadLibraryExW在dlls/kernel32/module.c中实现,kernel32是加载了的,因此可以使用该函数。
最终在dlls/ntdll/loader.c中实现,实现函数为LdrLoadDll,这也符合windows以及wine的实现结构,从kernel32到ntdll。
LdrLoadDll函数如下图所示: