Непонятки с KnownDLL's

Доброго всем времени суток!

Народ, подскажите, ну что за фигня происходит... Написал либу, толкнул ее в %SystemRoot%\System32, создал в разделе KnownDLL соответствующую запись, но при загрузке либа не подгружается ни к одному процессу. С чем могут быть проблемы - с ДЛЛ или с ДНК?

 

Twister
машину реботил?)

 

mAgoja

Twister
а разве дллки из KnownDLL должны подгружаться автоматом?

 

Twister
knowndlls НЕ грузяцо автоматом. Или я чего-то путаю?

 

initdlls
копай туда

 

Twister
Knows dll никогда сами не грузятся!!!

 

Гм... я что-то попутал видать. Надо бы к Руссиновичу заглянуть еще разок. Сейчас пойду поставлю эксперемент - снесу из КновнДЛЛ какую-нибудь либу и посмотрю, загрузится ли она после ребута...

Ты б хоть пояснил что это. Раздел реестра или что?

 

Вообще да, не все что прописано в КновнДЛЛ отображается на АП процессов, хотя autoruns Руссиновича обрабатывает этот раздел как источник автозапуска. Где истина?

Тогда открываю следующий вопрос: как без хуков протащить либу во все процессы (способ нужен документированный)?

 

HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows/App_InitDlls
гугль на App_InitDllsю я ночь не спал, объяснять нимагу просто

 

Rascal_spb
спосб старый, еще у рихтера описанный. DLL будут внедрены НЕ во все процессы, а только в те, что используют user32.dll

 

Twister
можно же написать dll-прокси к kernel32 например и прописать туда, вот это действительно автозапуск получится

 

ну юзер не грузят весьма мало программ(даж консольные када месажбокс показуют грузят, сталобыть в импорте есть, сталобыть грузится либа). да и человеку нужен документированный способ. помойму весьма эффективный способ. ещё тут проскакивало упоминание All_InitDLLs. сам не пробовал юзоть.
зы: прокси хоть к ntdll, тока это врядли документированный способ =)

 

это да.
ну можно еще к винлогону дллку подгрузить) стандартным способом

 

и все же без него прожить можно, а если ТС нужно грузиться во все процессы, то это не катит (

 

Это потому, что внедряются они через хуки.

Я тоже полохо спал - не могу вкурить, что есть ДЛЛ-прокси?

За HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows/App_InitDlls спасибо, сейчас пойду попробую...

 

ну вобщем думаю других способов нету официальных. что подразумевалось под длл прокси я тож не понял. как будто инжект в сам kernel32, чтоб импортировалась твоя либа. но юзают часто CreateProcess, WinExec хукают, и палят запуски подгружают либы.

всё, я спать. буду позже. речь совсем путается. мысли тоже

 

Итак, способ с App_InitDlls прекрасно работает, посему разрешите всем выразить благодарность и закрыть топик.

Кстати:

Я был не прав. Не знаю как и кто их внедряет, но точно не через хуки. Сам проверил.

 

Proxy DLL это длл в которой все те же экспортируемые символы что и в маскируемой длл-ке. Т.е. экспортирующая все те же функции, типы и константы что и маскируемая. Сам код достаточно тривиальный, просто вызовы соотв. ф-ций из маскируемой дллки.
Ну и поток создается в коде инициализации длл, делает все что нужно.
ПРоблем 2 - SFC (решаемо) и установка (решаемо)

 

slow
Понятненько. Способ пахнет гемороем...

 

Twister
а никто и не обещал райскую малину )))