LoadDll详解----衔接于上篇的DLL装载

最新推荐文章于 2024-01-24 16:10:00 发布
最新推荐文章于 2024-01-24 16:10:00 发布
阅读量3.9k 收藏 4
点赞数 1
分类专栏: 逆向 文章标签: DLL 装载 底层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/90143044
版权

根据我们上次所讲,其大概流程是差不多理清了,但是还有具体的一些细节和一个Tls的大头还没阐述,先把LoadDll的具体细节讲完,这里推荐大家去看毛德操先生的著作《内核情景分析》,这本书对ReactOS(一种也是基于NT的内核,但是不同于Windows,它是完全开源的)的解析入木三分,我读完这个DLL的装载后大有所获,所以强烈推荐这本好书!!!

好了,接下来就是我们的正题了先复习下调用流程。
LdrInitializeThunk > LdrPEStartup() > LdrFixupImports()> LdrpProcessImportDirectory() > LdrpProcessImportDirectoryEntry()> LdrGetExportByOrdinal() > LdrFixupForward() 首先复习下LdrFixupForward的内容

LdrFixupForward(PCHAR ForwardName)
{
   
   CHAR NameBuffer[128];
   UNICODE_STRING DllName;
   NTSTATUS Status;
   PCHAR p;
   PLDR_DATA_TABLE_ENTRY Module;
   PVOID BaseAddress;
   strcpy(NameBuffer, ForwardName);
   p = strchr(NameBuffer, '.');//将转向DLL的dll模块名和转向函数分割
   if (p != NULL)
     {
   
        *p = 0;
        DPRINT("Dll: %s  Function: %sn", NameBuffer, p+1);
        RtlCreateUnicodeStringFromAsciiz (&DllName,
                                          NameBuffer);
        Status = LdrFindEntryForName (&DllName, &Module, FALSE);//先判断有无载入,假如加载了,就可以直接找了
        /* FIXME:
         *   The caller (or the image) is responsible for loading of the dll, where the function is forwarded.
         */
        if (!NT_SUCCESS(Status))//若未加载转向的DLL
          {
   
             Status = LdrLoadDll(NULL,//加载该DLL,及初始化其依赖的DLL
 								NULL,
                                 &DllName,
                                 &BaseAddress);
             if (NT_SUCCESS(Status))
               {
   
                 Status = LdrFindEntryForName (&DllName, &Module, FALSE);
               }
          }
        RtlFreeUnicodeString (&DllName);
        if (!NT_SUCCESS(Status))
          {
   
            DPRINT1("LdrFixupForward: failed to load %sn", NameBuffer);
            return NULL;
          }
        DPRINT("BaseAddress: %pn", Module->DllBase);
        return LdrGetExportByName(Module->DllBase, (PUCHAR)(p+1), -1);//递归调用依据函数名调用的过程
     }
   return NULL;
}

可以看到LdrFixupForward->LdrLoadDll 这才是我们今天的主角

/*
在LdrFixupForward里调用语句Status = LdrLoadDll(NULL,NULL,&DllName,&BaseAddress);
*/
NTSTATUS NTAPI
LdrLoadDll (IN PWSTR SearchPath OPTIONAL,
            IN PULONG LoadFlags OPTIONAL,
            IN PUNICODE_STRING Name,
            OUT PVOID *BaseAddress /* also known as HMODULE*, and PHANDLE 'DllHandle' */)
{
   
  NTSTATUS              Status;
  PLDR_DATA_TABLE_ENTRY Module;

  PPEB Peb = NtCurrentPeb();//获得peb指针
  TRACE_LDR("LdrLoadDll, loading %wZ%s%Sn",
            Name,
            SearchPath ? L" from " : L"",
            SearchPath ? SearchPath : L"");
  Status = LdrpLoadModule(SearchPath, LoadFlags ? *LoadFlags : 0, Name, &Module, BaseAddress);//下发给LdrpLoadModule
  if (NT_SUCCESS(Status) &&//若成功加载,并且不是映射为单纯的数据文件,因为我们这里是DLL文件,所以肯定进这个控制流
      (!LoadFlags || 0 == (*LoadFlags & LOAD_LIBRARY_AS_DATAFILE)))
    {
   
      if (!(Module->Flags & LDRP_PROCESS_ATTACH_CALLED))//模块并不是进程加载时被调用
        {
   
          RtlEnterCriticalSection(Peb->LoaderLock);
          Status = LdrpAttachProcess();
          RtlLeaveCriticalSection(Peb->LoaderLock);
        }
    }
 if ((!Module) && (NT_SUCCESS(Status)))//若模块
    return Status;
  *BaseAddress = NT_SUCCESS(Status) ? Module->DllBase : NULL;//返填充
  return Status;
}
/*
LdrpLoadModule   	//通过该函数装载模块和其依赖DLL
LdrpAttachProcess	//调用该函数的初始化函数
*/

可以看到,LdrLoadDll只是起到一个类似于stub的功能,主要实现下发给了LdrpLoadModule用以加载该模块及其依赖的DLL。而对于LdrpAttachProcess而言,则是调用这些DLL的初始化函数(dwReason == DLL_PROCESS_ATTACH),这个之后再讲,先把加载捋清了。

LdrFixupForward->LdrLoadDll->LdrpLoadModule

static NTSTATUS
LdrpLoadModule(IN PWSTR SearchPath OPTIONAL,
               IN ULONG LoadFlags,
               IN PUNICODE_STRING Name,		//模块名
               PLDR_DATA_TABLE_ENTRY *Module,//模块信息
               PVOID *BaseAddress OPTIONAL)
{
   
    UNICODE_STRING AdjustedName;
    UNICODE_STRING FullDosName;
    NTSTATUS Status;
    PLDR_DATA_TABLE_ENTRY tmpModule;
    HANDLE SectionHandle;
    SIZE_T ViewSize;
    PVOID ImageBase;
    PIMAGE_NT_HEADERS NtHeaders;
    BOOLEAN MappedAsDataFile;
    PVOID ArbitraryUserPointer;

    if (Module == NULL)
      {
   
        Module = &tmpModule;
      }
    /* adjust the full dll name */
    LdrAdjustDllName(&AdjustedName, Name, FALSE);//调节全路径至BaseDllName
    DPRINT(
最低0.47元/天 解锁文章
_Nigel_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
load dll 简单方式
gqdw
06-08 3849
本文转自codeprojcet  http://www.codeproject.com/KB/DLL/dllease.aspx load dll也就是load dll中的函数,一般是loadlibrary,GetProcAddress,每一步都要判断函数返回是否正确,比较繁琐,该作者干脆做了个封装,将这些重复步骤封装到一个bool的函数中,这样只要在if语句中调用一下可以了,具体来看代码:
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动级dll注入源码 在xp系统可以注入dll到保护的进程
DLL注入相关
kernweak的博客
06-02 562
DLL是通过问卷映射实现,只占一个内存空间,每个DLL收到一份映像,DLL被加载之后系统页面文件明显变大,内存使用明显变大。 DLL引用分显示隐式 如果有lib+dll+头文件 则:建工程的时候选择导出符号 #pragma comment(lib, “libname.lib”) #include “libname.h” func(); 只有DLL文件 LoadLibrary Ge...
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2887
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
TLS 回调中挂钩 LdrLoadDll 实现监视模块加载过程
最新发布
溡漪幽博客
01-24 1097
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块加载过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
64位Shellcode方式注入DLL
IT男也疯狂
07-18 701
挟持NTDLL的API进行的远程注入DLL,支持主动启动进程方式加载
LoadDll-master_rundll32_windows_rundll_GUI_BetterWithYou_
10-03
Better version of RunDll with GUI. This program allows you to load DLLs on Windows.
LoadDLL(1)_dll_
10-03
一个注入库,它在目标进程中手动映射给定的DLL,手动加载其导入并调用其启动例程
gohooks:GoHooks 使从 Go 应用程序发送和使用安全网络钩子变得容易
05-30
钩子 GoHooks 使从 Go 应用程序发送和使用安全网络钩子变得容易。 SHA-256 签名是用发送的数据加上加密盐创建的,用于在接收时进行验证,有效地使您的应用程序只接受来自受信任方的通信。 安装 ...
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
C++通过Loaddll的方式调用C封装的dll.rar
09-10
C++通过Loaddll的方式调用C封装的dllC++通过Loaddll的方式调用C封装的dllC++通过Loaddll的方式调用C封装的dllC++通过Loaddll的方式调用C封装的dll
C#动态加载dll扩展系统功能的方法
09-03
这些方法有助于进一步操作DLL中的资源。 在实际应用中,我们可能需要根据配置文件(例如XML)来决定哪些DLL需要加载,并且可能需要创建和使用DLL中定义的类的实例。为此,可以创建另一个辅助类,如`LoadClass`,...
C++学习记录006——调用DLL(动态)
SYW的博客
02-07 3424
C++ 动态调用动态链接库
一、C++反作弊对抗实战 (基础 —— 6.利用LdrLoadDll远程线程注入DLL)
Koma的主页
03-02 1144
利用LdrLoadDll远程注入DLL(支持x32与x64)
实战dll注入(原理, 踩坑及排雷)
Niatruc的博客
08-22 3929
使用vs2019编写注入器程序, 在生成的注入器可用前, 踩了不少坑, 因此记录一下.
几个重要的函数
kwonsir的专栏
10-14 1891
几个重要的函数: [特别划来的几个底层函数很有用,有公开的、也有没公开的,有用就收起来] ±        NtQueryDirectoryFile±        在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。NTSTATUS NtQueryDirectoryFile(
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 339
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
重定位表详解
For Geek
05-10 3853
重定位表对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位表作为一个单独的区块放到区块表中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
qt 控制台 调用 dll
08-17
在Qt控制台应用程序中调用DLL,你可以按照以下步骤进行操作: 1. 将DLL文件放置在Qt项目的文件夹中,或者指定其绝对路径。 2. 在Qt项目中创建一个头文件(例如,dllwrapper.h),用于声明要调用的DLL函数的函数指针和相关数据结构。 3. 在dllwrapper.h文件中,使用`#include`指令包含DLL的头文件。如果DLL没有提供头文件,则需要自己编写函数的声明。 4. 在dllwrapper.h文件中,声明函数指针来存储DLL函数的地址。例如,如果要调用名为`MyFunction`的函数,则可以使用以下代码声明函数指针: ```cpp typedef int (*MyFunctionType)(int); ``` 5. 在dllwrapper.h文件中,创建一个类或命名空间来管理DLL函数的加载和调用。在类或命名空间中,添加一个静态成员函数用于加载DLL并获取函数地址。例如: ```cpp class DLLWrapper { public: static bool loadDLL(); static MyFunctionType myFunction; }; ``` 6. 在dllwrapper.cpp文件中实现`loadDLL`和其他函数。`loadDLL`函数中,使用`QLibrary`类来加载DLL并获取函数地址。例如: ```cpp bool DLLWrapper::loadDLL() { QLibrary dll("your_dll_name.dll"); if (dll.load()) { myFunction = (MyFunctionType)dll.resolve("MyFunction"); if (myFunction) { return true; } } return false; } ``` 7. 在主函数或其他需要调用DLL函数的地方,调用`loadDLL`函数来加载DLL。例如: ```cpp if (DLLWrapper::loadDLL()) { int result = DLLWrapper::myFunction(42); // 处理DLL函数的返回值 } else { // 处理加载DLL失败的情况 } ``` 这样,你就可以在Qt控制台应用程序中成功调用DLL函数了。请注意,上述示例代码仅作为演示,你需要根据实际情况进行修改和适配。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值