关于Windows应用程序加载DLL的总结

最新推荐文章于 2024-07-19 20:25:39 发布
最新推荐文章于 2024-07-19 20:25:39 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 调试 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mmilmf/article/details/123539287
版权

0x00 背景

最近在开发项目上遇到一个奇怪的问题,项目使用到OPENSSL库,进行加密,某个DLL(A.DLL)对该库进行封装后调用。EXE对A.DLL采用动态链接的方式进行加载,调动里面的函数之后,使用FreeLibrary释放DLL。
结果竟然没有卸载掉该DLL。这就突破了我的认知了,我的见识里面所了解到的加载DLL方式包括两种:

  1. 隐式链接:程序运行时DLL被加载进来,等待程序结束之后,卸载加载的DLL。
  2. 动态链接:程序使用LoadLibaray(Ex)等函数加载DLL,到不需要时主要使用FreeLibrary卸载DLL。

关于以上两点的详细介绍,请参见其他文章。

0x01 调查

程序使用了如下所示的伪代码:

int main()
{
    HMODULE h = LoadLibraryA("DLLName");
    if (h != NULL)
    {
        Function func = reinterpret_cast<Function>(
                GetProcAddress(h, "FunctionName")
            );
        if (func != NULL)
        {
            func();
        }

        FreeLibrary();
    }
    return 0;
}

经过单步注释代码的方式(很傻),发现只有在调用DLL里面的函数的时候,问题才会发生。那么只要把焦点放在DLL的这个函数上就好了。
可是结果没有这么简单,这个DLL也是OPENSSL的一个包装而已,并没有实际的代码。可是眼下并没有OPENSSL的源码,只能是调试调查了。

在调试之前,要想好目标才行,想着DLL是有引用计数的,那看看,在加载的时候,引用计数是多少。
使用windbg的!dlls命令查看DLL的引用计数、在LoadLibrary之后,看到此时DLL的引用计数是1,然而在
调用过DLL里面的函数之后此时DLL的引用计数变成了0x0000ffff了!

那么这个0x0000ffff代表着什么呢?经过查找资料,发现它是代表着DLL被隐式链接的。这就奇怪了,明明是动态加载的,怎么变成隐式链接了呢?

接下来的目标是查看这个引用计数是什么时候被改变的,经过查找资料找到了,如下的结构

struct _LDR_MODULE
{
    LIST_ENTRY InLoadOrderModuleList;
    LIST_ENTRY InMemoryOrderModuleList;
    LIST_ENTRY InInitializationOrderModuleList;
    PVOID BaseAddress;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;  <------看这里
    USHORT TlsIndex;
    LIST_ENTRY HashTableEntry;
    ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

有了这个信息,结合Windbg自身手册里面提供的一个脚本内容:

$$ Get module list LIST_ENTRY in $t0.
r? $t0 = &@$peb->Ldr->InLoadOrderModuleList
 
$$ Iterate over all modules in list.
.for (r? $t1 = *(ntdll!_LDR_DATA_TABLE_ENTRY**)@$t0;
 (@$t1 != 0) & (@$t1 != @$t0);
      r? $t1 = (ntdll!_LDR_DATA_TABLE_ENTRY*)@$t1->InLoadOrderLinks.Flink)
{
    $$ Get base address in $Base.
 as /x ${/v:$Base} @@c++(@$t1->DllBase)
 
 $$ Get full name into $Mod.
 as /msu ${/v:$Mod} @@c++(&@$t1->FullDllName)
 
 .block
    {
        .echo ${$Mod} at ${$Base}
    }
 
    ad ${/v:$Base}
    ad ${/v:$Mod}
}

其实上面的LDR_MODULE就是_LDR_DATA_TABLE_ENTRY,那就好办了,找到相应的DLL对应的结构地址,
使用ba w1下断点,运行之后,看到了调用栈里面出现了GetModuleHandleEx函数,它的第一个
参数是5,是如下两个值得组合(或)

  • GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS (0x00000004)
  • GET_MODULE_HANDLE_EX_FLAG_PIN (0x00000001)

其中MSDN对GET_MODULE_HANDLE_EX_FLAG_PIN的解释是:
The module stays loaded until the process is terminated, no matter how many times FreeLibrary is called.

至此,一切真相大白了!
不过倒是没搞懂,为什么这个版本的OPENSSL这么做,之前的代码并没有找到这样的处理。

0x02 附录

https://docs.microsoft.com/en-us/windows/win32/api/libloaderapi/nf-libloaderapi-getmodulehandleexw
https://securityxploded.com/dllrefcount.php
https://stackoverflow.com/questions/3553231/how-to-check-dlls-reference-count-how-to-know-where-the-dll-was-loaded

mmilmf
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows编程,加载dll库示例
weixin_34205826的博客
01-25 123
第一种方式,手动找到函数地址,进行调用。 LoadLibrary(); GetProcAddress(); 生成dll库 #include<Windows.h> //导出函数,可以加载的时候调用 _declspec(dllexport) void msg() { MessageBoxA(0, "1", "2", 0); } //...
Windows Dll 动态加载
weixin_41111116的博客
08-15 1369
Windows DLL 动态加载1. 起因2. 问题原因3. 解决3.1 C++ 版3.2 C#版 1. 起因 写代码的时候,需要动态加载DLL,这是一个非常非常常规的操作对吧。然而在开发的时候表现的一切正常,但是打包后,在别的机子上死活加载不到dll。???? 2. 问题原因 对于这个问题常见的原因无非就以下几个: DLL生成的有问题 加载路径写的不对 程序的权限不够 我这里遇到的是权限不够,所以我以管理员权限运行程序,我以为我终于要解决问题的了,but给我返回了个126(无法找到指定模块)… 苦思冥
【C++】【Windows】程序加载DLL库时依次查找哪些目录
xiaomiqaq的博客
05-29 324
有时,开发者可能会使用 SetDllDirectory 或 AddDllDirectory 函数增加额外的目录到搜索路径中,这会影响DLL搜索顺序。另外,使用 LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR 和相关的加载选项能够更改默认的搜索顺序。具体的加载顺序有时还可能受到系统配置和具体的API调用方式(比如 LoadLibrary, LoadLibraryEx)的影响。所以,上述顺序并不是固定不变的,可能会根据不同的情况或系统配置有所改变。
windows加载dll
u012989445的博客
05-28 650
windows加载dll 隐式加载 寻找 dll由系统控制 一般会在exe同级目录放着 这个一般没有太多坑,所以,可以慢慢探索 显式加载 加载路径自由选择 注意 踩过的坑: dll 内容没有改变 如果网络传输过,最好打包传输 dll 加载失败:126 126真的一直在报。 这种有几种原因: 原因1: 自己路径不对 如果不是自己的路径不对:就这个dll还依赖其他的dll 如果其他dll都全了,但是依然还是126。 就需要设定工作目录。 这是windows本身的机制问题。 wind
程序中动态、静态两种方式加载DLL
qq_16334327的博客
01-16 674
在程序使用Dll有两个加载方式: 一种是动态方式,就是LoadLibrary载入Dll,然后用GetProcAddress来加载需要使用的Dll函数。另一种就是静态连接方式,将dll生成的lib,加入到工程中,然后就可以很方便的调用。 但是很多dll在发布时不提供lib,没有lib我们就不能静态的加载,所以得想办法来生成一个lib,在vs2005中有这样的一个命令,不过我们还需要一个def文件...
Windows10下Qt动态/静态加载DLL
10-22
动态加载DLL可以提供更大的灵活性,因为它允许在运行时加载和卸载库,而不必在编译时将其链接到应用程序。本教程主要探讨Qt静态加载DLL以及动态加载导出函数,但不涉及动态加载导出类,因为Qt本身并不支持直接动态...
mfcdll.rar_MFC 加载dll
09-21
本篇文章将详细探讨MFC如何加载DLL,并提供实际操作的指导。 首先,了解DLL的基本概念是必要的。DLL是一个包含可由多个程序同时使用的函数和资源的库。它允许不同应用程序共享同一段代码,节省内存并简化软件维护。...
创建消息DLL,写Windows应用程序日志
09-10
总结起来,创建消息DLL并使用它来写入Windows应用程序日志是一个有效且灵活的解决方案,可以帮助我们更好地管理和理解应用程序的运行状态。通过将日志信息组织在单独的DLL中,我们可以提高代码的可维护性和重用性,...
易语言从内存加载DLL源码
06-02
DLLWindows操作系统中的一个重要组成部分,它封装了可复用的函数和数据,多个应用程序可以共享同一DLL文件,从而节省系统资源。从内存加载DLL,相较于传统的文件系统加载方式,有以下优势: 1. **提高安全性**:...
Windows DLL基本原理与加载连接的实现--赵星宇
weidade3621的专栏
01-01 6125
Windows DLL基本原理         Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Mi
windows load a DLL from memory
iteye_11596的博客
07-12 292
https://github.com/fancycode/MemoryModule   https://github.com/fdiskyou/malware
c++同名dlldll中同名函数加载问题
u010484388的博客
09-02 2889
1.前人工作 最近帮公司做一些软开方面的事,主要负责将项目环境进行统一配置,其中就涉及到了dll加载时如果遇到同名dll的解决方案,在网上寻找有效的解决方案,发现有价值的较少,找到可能有价值的链接如下: (1)https://blog.csdn.net/mincheat/article/details/51312173 这个博主,对加载同名dll进行了测试,并提出了一些解决方案,最终给出的解决方案时通过进程间通信,这种方案从理论上来讲是没有问题的,但比较麻烦。 (2)http://cn.voidcc
Windows动态链接库DLL
Legend500
12-21 325
1.什么是DLL DLL,即动态链接库,是包含若干个函数的库文件,可供其他程序运行时调用。 2.DLL的优缺点 优点:代码重用,可供多个程序同时调用 缺点:易发生版本冲突 当新版本的动态链接库不兼容旧版本时,其他使用该DLL的程序可能无法正常工作。 针对这一问题,我们需要在程序中加上一个manifest文件,指明该程序所使用的DLL版本号。 此时,程序将根据manifest加载指定版本的DLL...
WinDBG详解进程初始化dll是如何加载
一线码农的专栏
11-09 648
INT 是 Windows 需要加载的函数名列表。IAT 是存放 GetProcAddress 返回函数地址的列表。
关于LDR的疑问与探索
Night May Say
05-29 2051
之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……关于结构LDR_MODULE的定义:typedef struct _LDR_MODULE {
解决~~~Windows10系统下使用/添加dll文件的方法
MerryMaking7946的博客
02-20 2733
Windows10系统下使用dll文件问题描述问题解决 问题描述 我们在windows10系统电脑中运行程序时遇到缺少xxx.dll文件,无法正常运行情况的话,那么就需要下载对应的dll文件才可以。 dll文件下载官网,自己搜索需要的文件 问题解决 找到系统文件夹 Windows操作系统会创建了一个新的名为 System32 的文件夹来存放32位的dll文件。而在64位版本的Windows内,Windows则会创建一个32位系统没有的SysWOW64文件夹做为64位dll的仓库。 将下载好的dll文件
2024.7.19 作业
最新发布
qq_64434282的博客
07-19 3022
【代码】2024.7.19 作业。
Windows Ring3层DLL注入技术总结
4. 修改注册表:通过修改注册表中的相关键值,例如系统路径或者应用程序的启动配置,使目标程序在启动时自动加载指定的Dll。 5. 挂钩窗口消息:利用Windows消息机制,通过安装钩子函数(Hook),在特定的消息处理中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值