易语言资源网 - 做最全的易语言资源下载社区
精易论坛授权登录
退出登录
我要分享内容
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
搜索
精易模块
自绘
界面美化
汇编
POST
API
易语言助手
高级搜索
首页
易语言源码
入门教程源码
初级教程源码
进阶教程源码
高级教程源码
系统工具源码
图形图像源码
多媒体类源码
游戏娱乐源码
数据库类源码
模块控件源码
行业软件源码
网络相关源码
界面美化源码
易语言模块
易语言支持库
易官方支持库
第三方支持库
OCX控件库
辅助类支持库
支持2017link的改造库
易相关资源
易语言版本下载
易语言配色方案
编程辅助工具
编译链接器
易相关资料
电子书类
图文资料
开源大赛
2016开源大赛(第一届)
2017开源大赛(第二届)
2018开源大赛(第三届)
2019开源大赛(第四届)
2020开源大赛(第五届)
2021开源大赛(第六届)
2022开源大赛(第七届)
火山相关资源
火山版本下载
火山安卓源码
火山PC源码
其他资源
JavaScript
PHP
C++
HTML
uni-app
Java
Golang
C#
Delphi
全部
易语言源码
易语言模块
易语言支持库
易相关资源
易相关资料
开源大赛
火山相关资源
其他资源
当前位置:
易语言资源网
>
模块控件源码
>
帖子内容
【Ldr】关于系统Dll加载/卸载的简单实现过程和简单分析
[复制链接]
2022-07-14 09:07:01
模块控件源码
易语言资源网
2401
次浏览
来源链接
前言:
本方法直接使用了NtMapViewOfSection实现Dll的映射,本质上和系统加载Dll的方式差别不大。
实现过程:
利用NtOpenFile打开Dll文件,然后使用NtCreateSection创建SectionHandle,接着使用NtMapViewOfSection将Dll映射到内存,基本的Dll加载就完成了。
然后将对映射的镜像进行处理,主要处理部分是重定向表和构建导入表,并且对映射内存设置保护:
下面是一些简单的测试:
在ProcessHacker中可以看到这个Dll(没有尝试将这个Dll写入Ldr的链,直接枚举是枚举不到的),Etw的IMAGE加载监听仍然可以监听到这个Dll的加载行为(提示:触发Etw记录的本质原因是使用了命令NtMapViewOfSection,在内核中Etw会对NtMapViewOfSection的行为进行记录)
其他:
如果将NtMapViewOfSection改为自己编写的内存映射代码,即可实现内存Dll。
本例子中的LdrpMapDll实际上只是一个很简单的例子,只处理了最基础的部分,很多复杂的部分还没有处理(包括清单,老版本兼容,入口点消息等等),这就自行开发了吧。
点我下载
(已有
81
次下载)
引用模块
无
引用支持库
源码文件名
支持库文件名
支持库标识
MapDll.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
测试Dll.e
系统核心支持库 5.7
d09f2340818511d396f6aaf844c7e325
[错误报告]
上一篇:PGE2D游戏引擎加强版...
下一篇:分享多线程内存搜索速度非常快...
本栏最新
1
【已更新】快速字节集类 快速文本类,替代通用对象库
2
PS对象操作类模块 更新 用于操作Photoshop 制作自动化脚本
3
宝塔模块开源
4
rdtsc取纳秒级时间计数
5
文本笔算_加减乘除_支持正负[小数/整数/大数/前缀0的数]
6
高性能读写锁_同步锁v2.6.1 几乎纯汇编 支持跨进程
7
汇编 最快倒找+寻找文本+字节集2.3.1
8
文本加密
9
易语言字体安装,永久生效,立即生效
10
everything调用模块
本栏最热
1
分享一个 可精确控制 网页_访问_对象 超时时间 源码
2
大漠插件中文汉化模块源码
3
易语言超级模块8.0正式版源码
4
新版33个皮肤模块源码分享
5
大漠插件免费版3.1233的中文版模块
6
精易皮肤模块v4.0(2020.01.03)开源
7
IMGUI绘制模块源码
8
鱼刺类_Http模块v6.0.6源码
9
eWOW64Ext v1.2 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
10
ImGui 1.77最新最全库函数封装,UI库的又一新选择
栏目标签
HpSocket
checkbos
数组
API
SQL
算法
自绘
精易模块
皮肤模块
截图
多线程
黑月
托盘
SUI
特效
