LoadLibrary in kernel-mode

Тема в разделе "WASM.NT.KERNEL", создана пользователем guessWh0_o, 11 янв 2019.

  1. guessWh0_o

    guessWh0_o New Member

    Публикаций:
    0
    Регистрация:
    6 окт 2018
    Сообщения:
    27
    Здравствуйте, стоит задача перехватит вызов сторонней программой функции LoadLibrary. Как перехватывать всякие NtCreateFile и прочее мне понятно. Но как перехватить то, что программа пытается подгрузить стороннюю библиотеку не очень понятно. Если есть мысли в какую сторону копать, то подскажите пожалуйста.
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
  3. guessWh0_o

    guessWh0_o New Member

    Публикаций:
    0
    Регистрация:
    6 окт 2018
    Сообщения:
    27
    Наткнулся на недокументированную функцию LdrLoadDll()
     
  4. guessWh0_o

    guessWh0_o New Member

    Публикаций:
    0
    Регистрация:
    6 окт 2018
    Сообщения:
    27
    Rel, можно поподробнее. С LdrLoadDll() не получилось, она в ntdll находится
     
  5. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Наверное, надо смотреть как загрузчик винды подгружает новую длл. Почитайте Руссиновича или сорцы вин2к. LdrLoadDll не пойдет, тут надо CreateFile + маппинг секций и прочее.
    Не делал такое, чисто теоретически предполагаю.
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    само собой... я тебе сказал уже, либо PsSetLoadImageNotifyRoutine, либо перехват маппирования в память (не знаю как, гугли)... ну можно еще создание потока перехватить или открытие файла...