Dll原理和使用

最新推荐文章于 2021-03-11 13:44:48 发布
最新推荐文章于 2021-03-11 13:44:48 发布
阅读量6k 收藏 10
点赞数 1
分类专栏: C/C++ 文章标签: dll mfc thread reference import windows

转载


DLL原理。。。


    DLL 由4部分构成:代码段,数据段,输出符号表和输入符号表。


    代码段只读的,每个进程共享映射到此代码段.
    数据段在DLL 中可以定义多个,当DLL被映射到进程时,操作系统会为每个进程都创建一个对应的数据段,并把DLL中的全局数据复制到进程中。因此,如果不采取特别的措施,DLL中的数据段不能跨进程共享。但是可以将数据段的属性修改为共享的,这样该数据将被映像到所有的依附到该DLL的进程,多个进程将共享该数据段。
    在DLL 中可以调用其他的DLL 中实现的功能,因此,跟应用程序一样,DLL 中包含了一个输入符号表。该表中的每个项目记录了一个符号名、定义该符号的DLL模块名等信息。
    对DLL 而言,最重要的是它包含了一个输出符号表。对于DLL 中的输出的每个函数,变量都会在该表中添加一个项目,记录输出函数或者变量的符号名、序号以及在DLL 中的偏移。DLL 中的输出符号将被其他的DLL 或应用程序引入。

要查看DLL输出了那些符号,要指定-exports显项。例如:dumpbin .net 工具
   dumpbin exports sample14_1.dll
 结果显示sample14_1.dll输出了一个函数,其输出序号为0,其虚拟地址为0x00011389.
 ..............
 ordinal    hint     RVA        name
    1        0       00011389    DLLFunc1
               输出符号表

输出符号序号地址内容
DLLFunc1000011389hjmp DLLFunc1(00011f10h)
DLLFunc2100011393hjmp DLLFunc2(00011f50h)

查看DLL 输入了那些符号,要指定 -imports显项。例如sample14_1_1.exe,它用到了 sample14_1.dll中定义的两个函数,DLLFunc1和DLLFunc2。
..............
Section contains the following imports:
  SAMPLE14_1.dll
       42A310 Import Address Table
       42A18C Import Name Table
          0 time date stamp
          0 index of first forwarder reference
        0 DLLFunc1
        1 DLLFunc2
它表明,可执行文件中引用了在sample14_1.dll中定义的DLLFunc1 和DLLFunc2。链接器将位每个输入符号分配四个字节的表项,以保存该符号在进程空间的实际地址。"42A310"表示从SAMPLE14_1.dll中引用的第一个符号地址为0X42A310。由此可以推断,第二个从sample14_1.dll 中引入的符号地址为0x42a314。链接阶段,链接器无法确定每个输入符号在目标进程空间的实际地址,但是它知道每个输入符号相对于定义它的DLL模块的偏移。

sample14_1.dll 输出符号表中有下面的信息:
      ordinal   hint   RVA        name
         1       0     00011389   DLLFunc1
         2       1     00011393   DLLFunc2

sample14_1.exe 输入模块表(14-2):

输入模块输入符号表基地址
sample14_1.dll42A310h00000000h
kernel32.dll42A1C0h00000000h

              sample14_1.dll输入模块的输入符号表(14-3):

序号地址内容
042A310h00011389h(输出模块表地址)
142A314h00011393h

可以看出sample14_1_1.exe 的0X42A310处的值为"00011389",输入符号表中的内容是从lib文件中得到的。每个输入模块都会被分配一个输入符号表,表14-2记录了其输入符号表的起始地址。

对于DLLFunc1 和 DLLFunc2 的调用,通过一个call 指令实现:
     call         dword ptr[_imp_DLLFunc1(42A310h)]
     call         dword ptr[_imp_DLLFunc2(42A314h)]
......

假如运行时刻,地址42A310h中的内容为10000000h+00011389h=10011389h
那么:

     call dword ptr[_imp_DLLFunc1(42A310h)]

被转换为下述指令:

    10011389 jmp DllFunc1(10011F10h)...sample14_1_1.dll输出符号表实际地址=(地址0011389+偏移10000000)中存的内容(其中的地址也要相应的加偏移)

             输出符号表

输出符号序号地址内容
DLLFunc1000011389hjmp DLLFunc1(00011f10h)
DLLFunc2100011393hjmp DLLFunc2(00011f50h)

因为输入模块表仅记录了倚赖的dll的名字,所以还要确定该dll的完整路径。MFC 将按下面的路径搜索DLL:

      (1) 当前的进程的可执行模块所在的目录;
      (2) 当前的目录,也就是GetCurrentDir 返回的目录;
      (3) Windows系统目录,就是GetSystemDirectory返回的目录;
      (4) Windows 目录, 也就是GetWindowsDirectory 返回的目录;
      (5) PATH 环境变量中列出的目录。

然后MFC调用LoadLibrary 将DLL 映射到进程的地址空间。应用程序要修改它的输入模块表,记录每个DLL被映射的实际地址。如上列sample14_1.dll被映射到10000000h开始的空间,修改后的输入模块表为:

输入模块输入符号表基地址
sample14_1.dll42A310h00000000h-〉10000000h
kernel32.dll42A1C0h00000000h

输入模块输入符号表:

序号地址内容
042A310h00011389h+10000000h->10011389h
142A314h00011393h+10000000h->10011393h

jmp   DLLFunc1(00011F10h)

改为:jmp DllFunc1(10011F10h)

当DLL被映射到进程虚拟空间后,紧接着就是执行_DllMainCRTStartup,DllMainCRTStartup 会调用DLL 中定义的DLLMain函数(DLL入口函数)。系统为每个DLL都提供了一个_DllMainCRTStartup实现。而一般DLLMain由每个 DLL自己提供。

BOOL APIENTRY DllMain(HANDLE hModule,
                      DWORD ul_reason_for_call,
                      LPVOID lpReaserved
                     )
{
 }

当某线程第一次使用,最后一次使用,进程卸载DLL 系统调用次函数,传入的ul_reason_for_call分别为DLL_THREAD_ATTACH,DLL_THREAD_DETACH和DLL_PROCESS_DETACH。

 
lzcx
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
DLL(Dynamic Link Libraries)专题(转帖)
爱.NET
09-09 433
http://www.microsoft.com/china/community/program/OriginalArticles/techdoc/dll.mspx 引言 调用方式 MFC中的DLL DLL入口函数 关于约定 关于DLL的函数 模块定义文件(.DEF) DLL程序和调用其输出函数的程序的关系 作者 引言 ...
Windows DLL基本原理
helloworld201456的专栏
06-09 4386
Windows DLL基本原理 Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Microsoft
DLL原理
helloworld201456的专栏
06-09 1505
一,DLL原理  1,动态链接程序库  动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要跟其进行“动态链接”;从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:
DLL工作原理
为了票子,房子和车子....
12-15 2240
创造DLL:1) 建立带有输出原型/结构/符号的头文件。2) 建立实现输出函数/变量的C/C++源文件。3) 编译器为每个C/C++源文件生成.obj模块。4) 链接程序将生成DLL的.obj模块链接起来。5) 如果至少输出一个函数/变量,那么链接程序也生成lib 文件。创造EXE:6) 建立带有输入原型/结构/符号的头文件。7) 建立引用输入函数/变量的C/C++源文件。8) 编译器为每个C/C
Dll原理使用.CHM
09-07
Dll原理使用......
VC dll编程和使用例子
05-17
VC DLL(动态链接库)编程是Windows平台下软件开发中的一个...通过这个例子,我们可以深入理解VC++中动态链接库的原理和实践,掌握DLL的创建、导出、导入和使用,这对于提高代码复用性和降低软件复杂性具有重要意义。
visual studio 创建dll使用dll
10-24
在IT行业中,动态链接库(DLL)是一种非常重要的软件开发技术,它允许多个应用程序共享...理解DLL的工作原理和正确使用方式是提升软件开发效率和质量的关键。通过熟练掌握这些技能,你能够更好地应对各种复杂项目需求。
CV2需要_DLL
01-10
总的来说,"CV2需要_DLL"这个资源是为了解决OpenCV在运行时遇到的依赖问题,通过提供必要的DLL文件,帮助开发者和使用者顺利地运行含有OpenCV的程序。对于初学者而言,理解DLL的工作原理以及如何正确配置运行环境是...
wireshark-dll
12-12
Wireshark是一款强大的网络封包分析软件,...总的来说,理解和处理DLL问题需要对Windows操作系统的工作原理有一定的了解。正确识别和解决这些问题有助于确保Wireshark等应用程序能够正常运行,从而进行有效的网络分析。
dll工作原理
水过无痕
08-01 1491
DLL原理(作者写的很洋细,感谢一下作者)
cndeer的专栏
10-28 1597
前言   后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的“大力支持”,使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道“查端口”“看进程”,以便发现一些“蛛丝马迹”。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动
静态链接和动态链接
atarik@163.com
02-14 671
首先大概介绍一下,编译分为3步,首先对源文件进行预处理,这个过程主要是处理一些#号定义的命令或语句(如宏、#include、预编译指令#ifdef等),生成*.i文件;然后进行编译,这个过程主要是进行词法分析、语法分析和语义分析等,生成*.s的汇编文件;最后进行汇编,这个过程比较简单,就是将对应的汇编指令翻译成机器指令,生成可重定位的二进制目标文件。以上就是编译的过程,下面主要介绍两种链接方式--...
如何使用DLL
shg104的专栏
07-04 4436
1、创建dll:在.cpp头部加上如下语句:#define DLLEXPORT __declspec(dllexport) 2、实现函数:DLLEXPORT int Add(int first,int second){ return (first+second); }3、   使用Dll:在要使用dll中函数的头文件中加入:#define DLLIMPORT __decl
DLL动态链接库的工作原理
zhang_sinner的专栏
02-28 717
"动态链接"这几字指明了DLLs是如何工作的。对于常规的函数库,链接器从中拷贝它需要的所有库函数,并把确切的函数地址传送给调用这些函数的程序。而对于DLLs,函数储存在一个独立的动态链接库文件中。在创建Windows程序时,链接过程并不把DLLs文件链接到程序上。直到程  序运行并调用一个DLLs中的函数时,该程序才要求这个函数的地址。此时Windows才在DLLs中寻找被调用函数,并把它的
DLL之工作原理
tmac_0817的专栏
01-14 823
<br />DLL之工作原理转载:http://hi.baidu.com/bingbingzhe/blog/item/8829e5167b68cc1f972b43c7.html DLL是什么?就是动态链接库的英文Dynamic Link Library的简称。不过要说明一点的是:动态链接库的一般扩展名为DLL,也有可能是.drw(设备驱动程序),.sys(系统文件)和.fon(字体文件);但是不是说所有.drw(设备驱动程序)、.sys(系统文件)和.fon(字体文件)都是DLL。 <br />  动态链
Dll的创建与使用
I_T_Dark
03-11 4911
首先提出几个问题,什么是库文件、什么是静态库、什么是动态库,在windows中经常有看到.dll和.lib文件,他们是什么? 库、静态库、动态库   库是写好的,现有的,成熟的,可以复用的代码。现实中每个程序都要依赖很多基础的底层库, 不可能每个人的代码都从零开始,因此库的存在意义非同寻常。本质上来说,库是一种可执行代码的二进制形式, 可以被操作系统载入内存执行。库有两种:静态库(.a、.lib)和动态库(.so、.dll)。所谓静态、动态是指 链接。   lib(静态库)与dll(动态库)文件最大区别在调
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
dll使用lib文件的原理和好处
最新发布
04-10
使用LIB文件,可以将代码编译为可执行文件,便于程序的发布和交付。但是,使用LIB文件会增加程序的体积,有时也会导致程序运行效率较低。 而使用DLL文件,则可以在程序运行时动态加载相关代码,可以减小程序体积,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值