精易论坛

标题: 【ntdll】LdrSetDllManifestProber回调Dll加载 [打印本页]

作者: ANormalUser 时间: 2022-1-22 14:49
标题: 【ntdll】LdrSetDllManifestProber回调Dll加载
ntdll.dll!LdrSetDllManifestProber，我相信很多人听都没有听说过这个命令，实际上，我们用这个命令只是为了干一件事：替换LdrpManifestProberRoutine。
在系统初始化DllMain的时候（本质上是走到LdrpWalkImportDescriptor的时候），它会检查LdrpManifestProberRoutine是否有效，然后调用LdrpManifestProberRoutine，对此部分的预原注释是： Probe the DLL for its manifest. Some details are omitted（探测 DLL 的清单。省略了一些细节）
LdrSetDllManifestProber是直接将LdrpManifestProberRoutine替换为我们的子程序，当调用LdrpWalkImportDescriptor时，便会触发回调，如图：

LdrpManifestProberRoutine原来的代码比较复杂（它原来的地址是BasepProbeForDllManifest），实际上这个命令原来的操作是调用RtlCreateActivationContext来Create the activation context。我测试了一下，没有成功复现BasepProbeForDllManifest，现在的例子可能会造成程序不稳定，就这样了吧！大佬拿去玩吧。
虽然都是实现Dll加载回调，但是这个的实现原理和LdrRegisterDllNotification有本质上的区别，具体我不展开说了，自己去了解吧！
代码：

LdrSetDllManifestProber.e (3.03 KB, 下载次数: 118)

作者: xtavoxing 时间: 2022-1-22 15:49
哇.......(*@ο@*) 哇～

作者: xjshuaishuai 时间: 2022-1-22 17:26
谢谢分享！

作者: 点点丶滴滴 时间: 2022-1-23 01:09
支持一下

作者: beepsanta 时间: 2022-1-23 02:08
谢谢分享！

作者: ghost12 时间: 2022-5-9 00:00
感谢发布原创作品，精易因你更精彩！

作者: 784326742 时间: 2022-8-16 18:19
请问下卸载指定进程dll模块呢？

欢迎光临精易论坛 (https://125.confly.eu.org/)