官方微信 手机客户端 设为首页 收藏本站
登录 注册

仪陇家园分类信息网、仪陇生活网、仪陇家园网

搜索
免费发布信息

门户

信息

服务

社区

【ntdll】LdrSetDllManifestProber回调Dll加载 [复制链接]

[复制链接]
seo 发表于 2022-3-9 11:09:40 | 显示全部楼层 |阅读模式
ntdll.dll!LdrSetDllManifestProber,我相信很多人听都没有听说过这个命令,实际上,我们用这个命令只是为了干一件事:替换LdrpManifestProberRoutine。
在系统初始化DllMain的时候(本质上是走到LdrpWalkImportDescriptor的时候),它会检查LdrpManifestProberRoutine是否有效,然后调用LdrpManifestProberRoutine,对此部分的预原注释是: Probe the DLL for its manifest. Some details are omitted(探测 DLL 的清单。 省略了一些细节)
LdrSetDllManifestProber是直接将LdrpManifestProberRoutine替换为我们的子程序,当调用LdrpWalkImportDescriptor时,便会触发回调,如图:

LdrpManifestProberRoutine原来的代码比较复杂(它原来的地址是BasepProbeForDllManifest),实际上这个命令原来的操作是调用RtlCreateActivationContext来Create the activation context。我测试了一下,没有成功复现BasepProbeForDllManifest,现在的例子可能会造成程序不稳定,就这样了吧!大佬拿去玩吧。
虽然都是实现Dll加载回调,但是这个的实现原理和LdrRegisterDllNotification有本质上的区别,具体我不展开说了,自己去了解吧!
            

            
            点我下载
            (已有 5 次下载)
            

            
            
        

        
               
            引用模块
            
            无
回复

使用道具 举报

全部回复0 显示全部楼层
返回列表 发帖

发表回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

楼主

seo Lv.7
审核员

热门推荐

关于我们
网站介绍
招贤纳士
联系我们
新手上路
客服中心
网站地图
新手帮助
业务合作
广告服务
代理业务
友情链接
网站服务
商家入驻
房产频道
汽车频道

官方微信

小程序

手机版

联系客服 关注微信 下载APP 返回顶部 返回列表