Как при загрузке библиотеки предотвратить выполнение DllMain?

Сабж

 

не загружать длл

 

1)Выполнить загрузку вручную
2)Пропатчить лоадер
3)Поменять точку входа.

 

Squash
Ты уточни, тебе это где надо сделать и зачем?
В самой библиотеке или извне при её загрузке вручную?

 

Мне нужно подгрузить длл (чужую) и выполнить процедуру из нее.
При загрузке длл проверяет, что за процесс ее лоадит, и все кроме родного приложения шлет лесом.
Текущее решение - патчить флаги в хидере, чтобы превратить ее в ехешник. Хотелось бы нечто менее тяжеловесное.

 

Попробуй это:

- Функция LoadLibraryEx() с флагом DONT_RESOLVE_DLL_REFERENCES.
- Связка CreateFile() с флагом FILE_EXECUTE и CreateFileMapping() с флагом SEC_IMAGE.

Во втором случае экспорты придётся разбирать вручную.

 

если допустимо патчить флаги в хидере, то почему б тогда не переустановить точку входа на рет (0c2h <не помню сколько параметров>). или убрать это самое слание лесом (как оно там выглядит? фреелибрари? (а возврат потом куда?) пройтись по вызовам символа)

 

x64
не только импорт/экспорт и подгрузка либ, но и ининициализация тлс если оно используется и рантайма.

 

Да, всё верно, во втором случае работы прилично получается, это почти как загрузчик написать. Хотя есть статьи на эту тему, есть и исходники практически готовые, так что сделать можно, конечно.

 

Потому, что это те же яйца, только в профиль. Копирование+патч файла на диске, хотелось бы этого избежать.

Спасибо, попробую ее.

 

Поменять код dll и всё.

 

Squash

Нужно хотя бы попробовать тупо пропатчить DllMain, чтобы понять будет ли либа вообще после этого работать, т.к. если либа "серьезная", то при атаче она может выполнять кучу кода по инициализации crt\rtl, без которой никакие сурьезные функции кроме "2х2=4" работать все равно не будут

 

Пропатчить в памяти неэкспортируемую функцию вызова дллмайн в нтдлл (имя я еще не придумал..), в первом параметре ее передается хендл модуля(а сталобыть и начало виртуальной памяти с находящимся в ней модулем), по хендлу найдете имя (используя винапи или же в экспорте есть смещение на имя библиотеки), название библиотеки вы знаете, если оное совпаст с искомым, дллмайн не вызывайте. Вообщем, разумеется, вариант негодный.
ПС: посему глаголю вам перехватывать функцию, ответственную за обнаружение имени процесса в дллмайн и выдавать ей то имя в котором нуждается код данный и будет это прельстиво и мудро..и с чудинкой

С учетом того, что выполняться все будет в контексте процесса единого, же реализовать затею оную будет просто довольно человеку смышленому

 

TrashGen
А где тут использование GPE?

 

гпе не нужен

 

TrashGen
Вы ещё дров посоветуйте.

 

Так что сложного то в этом? Перехватить какую нибудь ГетНеймХендолМодуле(0); (или как бишь там ее?.. Это вообще например просто ежеле что) и возвращать имя модуля, который сверяет код библиотечной дллмайн?

 

TrashGen

Абсолютно ничего, но по моему Вы в своём посте написали что-то другое(я даже не понял что.) Самый простой и самый лучший вариант я уже озвучил - менять код в самой длл.

 

ТС против патча на диске, он же тоже сказал. И вообще нашли из-за чего поспорить, гпе какой то приплели. Доводите вот до бана когда по сурьёзнаму-то отвечаешь..

 

TrashGen
ТС сам\сама не знает чего хочет. Впредь излагайте мысли ясней, тогда не будут троллить.