Господа програмеры. У мня такой вопрос. Как то заметил одну штуку непонятную. Использовал загрузку Dll через AppInit_DLLs. Так вот што интересно. когда делал разбор импорта, то заметил, что в момент когда выполняются все DllEntry во время инициализации Dll и создания связей, pImageThunkData ехешника уже содержат адреса, но это адреса не функций требуемых в импорте, а адреса функций, находящихся в ntdll.dll. Причём ехешник не импортирует функций ntdll.dll. Что это такое ? и почему ? Это что фича такая или я чего то не знаю ? Ось 2k3 sp0.
Реально говорю, весь импорт ехека заполнен разными функциями ntdll.dll. к Forwarded export это никакого отношения не имеет. может это глюк ?
Гы. Фигня. Сам проверил. Там реально прописаны реальные точки входа функций из ntdll.dll, а не вот эта фигня што выше. айс врать не будет, и на такую фигню я вряд ли бы купился сразу без проверки.
Я весь импорт пересмотрел, нифига не форвардинг. Там во всём импорте функции из ntdll. Некоторые даже по нескольку раз повторяются. Смысл в таком форвардинге ? чо - то здесь не то.
Гы, корка. Проверил я на другой системе. Нет такова. Буду капать свою тачку. Кто то здесь отдуши насрал паходу