DLL装载的实现

最新推荐文章于 2023-08-11 09:00:00 发布
最新推荐文章于 2023-08-11 09:00:00 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: Windows操作系统 逆向 文章标签: Windows底层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/90084215
版权

Dll装载的实现

Dll装载主要由LdrInitializeThunk函数实现,具体如下

typedef struct _LDR_MODULE {
   
 LIST_ENTRY InLoadOrderModuleList;//链表
 LIST_ENTRY InMemoryOrderModuleList;
 LIST_ENTRY InInitializationOrderModuleList;
 PVOID BaseAddress;//基址
 PVOID EntryPoint;//入口点
 ULONG SizeOfImage;//映像大小
 UNICODE_STRING FullDllName;//全路径
 UNICODE_STRING BaseDllName;//本身的DLL名
 ULONG Flags;
 SHORT LoadCount;
 SHORT TlsIndex;
 LIST_ENTRY HashTableEntry;
 ULONG TimeDateStamp;//时间戳 很重要 用以校对绑定输入的有效性
} LDR_MODULE, *PLDR_MODULE;//LDR_MODULE的结构

VOID STDCALL
__true_LdrInitializeThunk (ULONG Unknown1, ULONG Unknown2,//Thunk是转换的意思,是编译的专用术语,这里我们可以把它等价了“动态链接”
                         ULONG Unknown3, ULONG Unknown4)
{
   
   . . . . . .

   DPRINT("LdrInitializeThunk()/n");//打印信息
   if (NtCurrentPeb()->Ldr == NULL || NtCurrentPeb()->Ldr->Initialized == FALSE)//检测Ldr模块是否存在和peb->ldr->Initialized是否被初始化决定是否要初始化模块
   {
    
        Peb = (PPEB)(PEB_BASE);            //获取进程环境快其固定地址在0x7FFDF000 有两种方式获取进程的peb,一种是NtCurrentPeb宏,另一种就是PEB_BASE
       DPRINT("Peb %x/n", Peb); 
        ImageBase = Peb->ImageBaseAddress; //EXE 映像在用户空间的起点
        . . . .
       /* Initialize NLS data */           //语言本地化有关
       RtlInitNlsTables (Peb->AnsiCodePageData, Peb->OemCodePageData,
                         Peb->UnicodeCaseTableData, &NlsTable);
       RtlResetRtlTranslations (&NlsTable);

       NTHeaders = (PIMAGE_NT_HEADERS)(ImageBase + PEDosHeader->e_lfanew);
       . . . . . .
       /* create process heap */ 
	   /*
	   NTSYSAPI PVOID RtlCreateHeap(
  		 ULONG                Flags,
  		 PVOID                HeapBase, if NULL, allocates system memory for the heap from the process's virtual address space.
  		 SIZE_T               ReserveSize,
  		 SIZE_T               CommitSize,
  		 PVOID                Lock,
  		 PRTL_HEAP_PARAMETERS Parameters);
	   */
       RtlInitializeHeapManager();//初始化进程堆
       Peb->ProcessHeap = RtlCreateHeap(HEAP_GROWABLE, NULL, //创建一个堆、 及其第一个区块,其初始的大小来自映像头部的建议值,其中 SizeOfHeapReserve 是估计的最大值,SizeOfHeapCommit是初始值,这是在编译/连接时确定的。
                            NTHeaders->OptionalHeader.SizeOfHeapReserve, //保留堆大小
                            NTHeaders->OptionalHeader.SizeOfHeapCommit, //提交堆大小
                            NULL, NULL); 
        /* create loader information */ 
       //PEB 中的 ProcessHeap 字段指向本进程用户空间可动态分配的内存区块“堆”
        Peb->Ldr = (PPEB_LDR_DATA)RtlAllocateHeap (Peb->ProcessHeap,//分配一个PEB_LDR_DATA大小的堆,handle是Peb->ProcessHeap,这里用的是RTlCreateHeap的堆
                                                  0,
                                                  sizeof(PEB_LDR_DATA));
       . . . . . . 
       /*    PEB 中的另一个字段 Ldr是个 PEB_LDR_DATA 结构指针,所指向的数据结构用来为本进程维持三个“模块”
         队列、即 InLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList。
             所谓“模块”就是 PE 格式的可执行映像,包括 EXE映像和 DLL 映像.
             两个模块队列的不同之处在于排列的次序,一个是按装入的先后,一个是按装入的位置
             每当为本进程装入一个模块、即.exe 映像或 DLL 映像时,就要为其分配/创建一个LDR_MODULE 数据结构,
         并将其挂入 InLoadOrderModuleList。然后,完成对这个模块的动态连接以后,就把它挂入
          InInitializationOrderModuleList 队列.LDR_MODULE 数据结构中有三个队列头,因而可以同时挂在三个队列
         中。*/
       Peb->Ldr->Length = sizeof(PEB_LDR_DATA);//设置为PEB_LDR_DATA大小
       Peb->Ldr->Initialized = FALSE;//未初始化
       Peb->Ldr->SsHandle = NULL;
       InitializeListHead(&Peb->Ldr->InLoadOrderModuleList);//初始化三个链表
       InitializeListHead(&Peb->Ldr->InMemoryOrderModuleList);
       InitializeListHead(&Peb->Ldr->InInitializationOrderModuleList);

       . . . . . .
       /* add entry for ntdll */
       NtModule = (PLDR_MODULE)RtlAllocateHeap (Peb->ProcessHeap,//分配一个LDR_MODULE大小的堆用以加载模块,实际上是一个_LDR_DATA_TABLE_ENTRY
                                                        0,		 //这里将ntdll这个模块串接到队列中
                                                        sizeof(LDR_MODULE));
       . . . . . .
       InsertTailList(&Peb->Ldr->InLoadOrderModuleList,//将新结点插入到顺序加载链表表尾
                             &NtModule->InLoadOrderModuleList);
       InsertTailList(&Peb->Ldr->InInitializationOrderModuleList,//插入新结点到初始化模块链表表尾,因为ntdll无依赖dll,所以直接串接上
                             &NtModule->InInitializationOrderModuleList);
       . . . . . . 
        /* add entry for executable (becomes first list entry) */
       ExeModule = (PLDR_MODULE)RtlAllocateHeap (Peb->ProcessHeap,//将exe模块串接到链表里
                                                        0,
                                                        sizeof(LDR_MODULE));
       . . . . . .
       InsertHeadList(&Peb->Ldr->InLoadOrderModuleList,//插入到表头,所以实际上我们从LDR遍历的时候看到的第一个模块是该EXE模块
                      &ExeModule->InLoadOrderModuleList);
       . . . . . . 
       /*当 CPU从 LdrPEStartup()返回时,EXE 对象需要直接或间接引入的所有 DLL 均已映射到用户空间并已完成连
         接,对 EXE 模块的“启动” 、即初始化也已完成。
          注意在调用 LdrPEStartup()时的参数 ImageBase 是目标 EXE 映像在用户空间的位置*/
       EntryPoint = LdrPEStartup((PVOID)ImageBase, NULL, NULL, NULL);
       . . . . . .
   }
   /* attach the thread */
   RtlEnterCriticalSection(NtCurrentPeb()->LoaderLock); //进行加锁处理 对临界区进行处理
   //目的是调用各个 DLL 的初始化过程,以及对 TLS、即“线程本地存储(Thread Local Storage)”的初始化
    //TLS:有时候又确实需要让每个线程都对于同一个全局变量有一份自己的拷贝,TLS就是为此而设的
    LdrpAttachThread();
   RtlLeaveCriticalSection(NtCurrentPeb()->LoaderLock);//释放锁
}

再复习下PEB结构的知识
在这里插入图片描述
在这里插入图片描述

为什么要进行动态链接呢,因为现在虽然ntdll和我们的EXE模块被加载到用户空间,但是并没有建立联系,我们的程序并不能直接调用ntdll里的函数,所以这就需要LdrInitializeThunk函数起到一个类似转换的作用,通过将各个模块串接起来实现关系的建立。大概流程是如上所述,首先ntdll和exe程序是在程序里,系统会进行RtlCreateHeap操作,Create一个映像头的默认值,然后就根据返回的Handle操作这块堆,首先将ntdll加载,然后挂钩链表,接着将exe进行挂钩,但是挂接EXE模块的时候,是插入到表头的,所以实际上遍历LDR的时候第一个可见模块是EXE模块的相关信息。LdrInitializeThunk只是简单的进行了初始化,创建了进程堆,将EXE模块和ntdll模块这两个模块挂接到InLoadOrderModule链表上,其余的模块是由LdrPEStartup函数挂接的,同时LdrPEStartup函数计算出了入口点,作为返回值返回。

/*
LdrPEStartup里所做的事情
1. Relocate, if needed the EXE.
2. Fixup any imported symbol.
3. Compute the EXE's entry point.
*/
//注意在调用 LdrPEStartup()时的参数 ImageBase 是目标 EXE 映像在用户空间的位置,Module是加载的模块链
PEPFUNC LdrPEStartup (PVOID ImageBase, HANDLE SectionHandle,
                      PLDR_MODULE* Module, PWSTR FullDosName)
{
   
     //PE 映像的 NtHeader 中有个指针,指向一个 OptionalHeader。说是“Optional”,实际上却是关键性的。在 
     //OptionalHeader中有个字段 ImageBase,是具体映像建议、或者说希望被装入的地址,即愿望地址
   . . . . . .
   DosHeader = (PIMAGE_DOS_HEADER) ImageBase;
   NTHeaders = (PIMAGE_NT_HEADERS) (ImageBase + DosHeader->e_lfanew);

   /*
    * If the base address is different from the
    * one the DLL is actually loaded, perform any
    * relocation.
    */
   if (ImageBase != (PVOID) NTHeaders->OptionalHeader.ImageBase)//判断基址是否一致,若EXE基址与期望基址不一致则进行重定位处理,其具体处理是在LdrPerformRelocations中实现的
   {
   
       DPRINT("LDR: Performing relocations/n");
        //ImageBase 是目标 EXE 映像在用户空间的位置
       Status = LdrPerformRelocations(NTHeaders, ImageBase);//若基址不是默认基址 则进行重定位处理
       . . . . . .
    }

   if (Module != NULL)//也即假如是dll程序,但是事实上不可能满足(事实上这个条件永不满足)
   {
   
       *Module = LdrAddModuleEntry(ImageBase, NTHeaders, FullDosName);//LdrAddModuleEntry是创建一个LDR_DATA_TABLE_ENTRY,并返回这个模块信息的指针。
       (*Module)->SectionHandle = SectionHandle;
    }
   else//所以这才是正题 之前LdrInitializeThunk调用LdrPEStartup的时候,传进的MODULE正是null
   {
   
       Module = &tmpModule;
       Status = LdrFindEntryForAddress(ImageBase, Module);//这里函数返回后Module的值是EXE模块的指针,即LDR_DATA_TABLE_ENTRY结构的指针
       . . . . . .
   }
   . . . . . .

   /*
    * If the DLL's imports symbols from other
    * modules, fixup the imported calls entry points.
    */
//它所处理的就是当前模块所需DLL模块的装入(如果尚未装入的话)和连接。如前所述,这个函数递归地施行于所有的模块,直至最底层的“叶节点”ntdll.dll为止,类似多对一的一棵树。
   DPRINT("About to fixup imports/n");
   Status = LdrFixupImports(NULL, *Module);//将串接模块送入LdrFixupImports来实现输入表的修复,这里传入的是 PLDR_MODULE 即EXE模块的链表位置
   if (!NT_SUCCESS(Status))//若失败,打印修复失败时的DLL名称
     {
   
       DPRINT1("LdrFixupImports() failed for %wZ/n", &(*Module)->BaseDllName);
       return NULL;
     }
   DPRINT("Fixup done/n");

   . . . . . .
   Status = LdrpInitializeTlsForProccess();//初始化Tls
   . . . . . .

   /*
    * Compute the DLL's entry point's address.
    */
   . . . . . .
   if (NTHeaders->OptionalHeader.AddressOfEntryPoint != 0)//计算EntryPoint并返回
    {
   
        EntryPoint = (PEPFUNC) (ImageBase + NTHeaders->OptionalHeader.AddressOfEntryPoint);
    }
   DPRINT("LdrPEStartup() = %x/n",EntryPoint);
   return EntryPoint;
}





/*
获取PLDR_MODULE的EXE模块的指针
*/
NTSTATUS NTAPI
LdrFindEntryForAddress(PVOID Address,
                       PLDR_DATA_TABLE_ENTRY *Module)
{
   
  PLIST_ENTRY ModuleListHead;
  PLIST_ENTRY Entry;
  PLDR_DATA_TABLE_ENTRY ModulePtr;

  DPRINT("LdrFindEntryForAddress(Address %p)n", Address);
  if (NtCurrentPeb()->Ldr == NULL)
    return(STATUS_NO_MORE_ENTRIES);
  RtlEnterCriticalSection(NtCurrentPeb()->LoaderLock);//进行遍历操作前先加锁 防止其他线程破坏
  ModuleListHead = &NtCurrentPeb()->Ldr->InLoadOrderModuleList;//按加载顺序进行遍历 现在获得的是PLIST_ENTRY
  Entry = ModuleListHead->Flink;//指向第一个
  if (Entry == ModuleListHead)//如果此时指向本身,那么表明没有结点
    {
   
      RtlLeaveCriticalSection(NtCurrentPeb()->LoaderLock);
      return(STATUS_NO_MORE_ENTRIES);
    }
  while (Entry != ModuleListHead)//只要不指向表头,就一直遍历,Entry为遍历指针
    {
   
      ModulePtr = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);//获得该模块的头部
      DPRINT("Scanning %wZ at %pn", &ModulePtr->BaseDllName, ModulePtr->DllBase);
      if ((Address >= ModulePtr->DllBase) &&//如果传入的的Address在 DllBase~DllBase+SizeOfImage之间,表明找到了
          ((ULONG_PTR)Address <= ((ULONG_PTR)ModulePtr->DllBase + ModulePtr->SizeOfImage)))
        {
   
          *Module = ModulePtr;
          RtlLeaveCriticalSection(NtCurrentPeb()->LoaderLock);
          return(STATUS_SUCCESS);
        }
      Entry &
最低0.47元/天 解锁文章
Lun3r-
关注
专栏目录
LoadDll详解----衔接于上篇的DLL装载
For Geek
05-12 4075
根据我们上次所讲,其大概流程是差不多理清了,但是还有具体的一些细节和一个Tls的大头还没阐述,先把LoadDll的具体细节讲完,这里推荐大家去看毛德操先生的著作《内核情景分析》,这本书对ReactOS(一种也是基于NT的内核,但是不同于Windows,它是完全开源的)的解析入木三分,我读完这个DLL装载后大有所获,所以强烈推荐这本好书!!! 好了,接下来就是我们的正题了先复习下调用流程。 Ldr...
一个通用的动态装载DLL的函数
06-21 319
[赣]Bahamut(28103589) 10:31:20 function LoadDLL(const DLLName, FuncName: string): Pointer;  var    hModule: Windows.HMODULE; begin   Result:= nil;   if not FileExists(DLLName) then    Exit;
内核模式到用户模式的回调函数----这篇文章是十年前国外大牛写的
商少
10-23 8145
内核模式到用户模式的回调函数http://www.nynaeve.net/?p=200        NTDLL 拥有一些特定的函数被内核用来代表用户模式执行特定的功能。尽管理解这些函数对于特定的功能(比如用户模式APC)的底层实现的理解是有用的,这些函数提供的功能非常的简单。        下面是一些NTDLL导出的,内核用于与用户模式通讯的函数: 1.KiUserExceptionDis
加密与解密:注入
weixin_49777720的博客
03-16 561
文章目录DLL注入放发通过干预输入表处理过程加载目标DLL静态修改PE输入标法进程创建期修改PE输入表法输入表项DLL替换法改变程序运行流程使其主动加载目标DLLCreateRemote Threadz法利用系统机制加载DLL DLLWindows平台提供的一种模块共享和重用机制,它本身不能直接独立执行,但可以被加载到其他进程中间执行,对灵活实现各种补丁功能非常有帮助。 DLL注入放发 程序加载DLL时间: 在进程创建阶段加载(静态输入) 调用LoadLibrary主动加载(动态加载) 由于系统机制的要
DLL注入技术
最新发布
Karka_的博客
08-11 410
DLLwindows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
Windows DLL基本原理
helloworld201456的专栏
06-09 4404
Windows DLL基本原理 Windows系统平台上,你可以将独立的程序模块创建为较小的DLL(Dynamic Linkable Library)文件,并可对它们单独编译和测试。在运行时,只有当EXE程序确实要调用这些DLL模块的情况下,系统才会将它们装载到内存空间中。这种方式不仅减少了EXE文件的大小和对内存空间的需求,而且使这些DLL模块可以同时被多个应用程序使用。Microsoft
dll中动态装载
05-30
本话题主要关注如何在执行期间(运行时)从DLL中动态装载资源到exe应用程序。下面将详细探讨这个主题。 一、DLL的原理与作用 DLLWindows操作系统中的一种文件格式,它包含可由多个程序同时使用的函数和数据。通过...
C#实现非托管资源DLL装载与卸载
03-17
C#实现非托管资源DLL装载与卸载封装类。
dll 文件动态 静态 装载方法例程源码下载
11-19
静态装载是在编译时就确定了要使用的DLL函数,它通过在源代码中使用`#pragma comment(lib, "dllname.lib")`或在项目设置中添加DLL的.lib文件来实现。这样,在编译链接阶段,编译器会将DLL的入口点和依赖项直接插入到...
漫谈兼容内核之七:Wine的二进制映像装入和启动
周寅的专栏
03-13 2413
  上一篇漫谈中介绍了几种二进制可执行映像的识别方法,而识别的目的当然是为了要装入并启动这些映像的执行。映像的装入和启动一般总是和创建进程相连系,所以本来就是个相当复杂的过程。而对于Wine,则在进程创建方面又增添了一些额外的复杂性。    为什么呢?我们这样来考虑:在Windows或ReactOS中,创建进程是由CreateProcessW()完成的,系统中的“始祖”进程就是个Windows进程
对TLS底层实现的详解
For Geek
05-12 2070
我在之前的博客里并未提及过Tls的底层初始化,现在好好来谈谈。 首先我们要知道Tls的初始化是在入口之前。先从一开始的LdrInitializeThunk说起,在调用LdrPEStartup时,其在修复完导入表后,调用了一次LdrpInitializeTlsForProccess,我们看看他是怎样处理的。 static NTSTATUS LdrpInitializeTlsForProccess(V...
通过中转DLL函数实现DLL劫持
CSDN
09-22 7420
当我们运行程序时,一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库,在进程未被创建之前Ntdll.dll库就被默认加载了,三环下任何对其劫持都是无效的,除了该Dll外,其他的Dll都是在程序运行时,在输入表中查找到对应关系后才会被装载到内存中的,理论上来说对除NtDll以外的其他库都是可操作的。编译main.cpp 动态加载函数,将lyshark.dll放入同一个目录下即可,程序运行后会动态调用DLL中的导出函数。默认会生成如下样子,直接在里面加上一个弹窗,然后编译DLL
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1078
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
TLS线程局部存储
megaparsec
02-11 1064
TLS线程局部存储
Win32(1)
qq_35501364的博客
01-28 953
一、字符 1.字符编码 (1)原始的ASCII表: 0—7F(0—127) (2)扩展的ASCII表: 0—FF(0—255) GB2312或GB2312-80 <用2个字节编码一个汉字> (3)Unicode编码: 编码范围:0—0x10FFFF 存在问题:只规定了符号的二进制代码,没有规定代码如何存储 (4)如何存储Unicode:UTF-16/UTF-8是Unico...
Win32学习笔记(7)进程相关API
wzprabbit的博客
12-18 822
1.ID与句柄: 句柄:就是进程里的私有表里的一个索引。 不过除了进程中的句柄表,操作系统也有一个句柄表。称为全局句柄表 全局句柄表并不是一个私有的概念,整个操作系统只有一份。全局句柄表至少包含所有的正在运行中的所有的进程和线程。 在创建进程的学习中我们知道,CreateProcess()函数中的最后一个参数lpProcessInformation指向PROCESS_INFORMATION结构体,结构体成员中有 hProcess;//进程句柄 dwProcessId;//进程id 那么两者.
软件调试基础
qq_18811919的博客
07-12 1408
作为一个程序员必须对软件调试的过程有一个基本的认识。
LdrInitializeThunk 解析
weixin_30387339的博客
10-03 189
copy from http://hi.baidu.com/5iprog/item/00ab5e092ecfb1cb75cd3c44 LdrInitializeThunk() WindowsDLL 装入(除 ntdll.dll 外)和连接是通过 ntdll.dll 中的一个函数LdrInitializeThunk()实现的. 在进入这个函数之前,目标 EXE 映像已经被映射到当...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值