Сообщение Re[3]: Перехвар api до вызова DLLMain от 29.09.2017 11:51
Изменено 29.09.2017 11:53 rumit7
Re[3]: Перехвар api до вызова DLLMain
Здравствуйте, Aniskin, Вы писали:
A>Вот и хочу попробовать перехватывать API не после LoadLibrary, а до вызова DLLMain.
тогда до кучи — перехват NtMapViewOfSection, там как-то так получится:
Остается после вызова оригинальной NtMapViewOfSection узнать имя замапленной секции, и если это нужная длл, то "делаем нехорошие дела дальше".
Но принцип такой-же как и указанно выше
A>А перехватываю я очень много. CreateFileAW/CloseHandle и практически все из списка. Как то так.
ну на всякий случай скину, может Ваш случай:
Faking KERNEL32.DLL — an Amateur Sandbox
Using Pragmas to Create a Proxy DLL
Forwarded DLL Exports and an Interesting Loader Behaviour
A>Вот и хочу попробовать перехватывать API не после LoadLibrary, а до вызова DLLMain.
тогда до кучи — перехват NtMapViewOfSection, там как-то так получится:
LoadLibrary->LdrLoadDll->LdrpFindOrMapDll->LdrpMapViewOfSection->NtMapViewOfSection
...
LoadLibrary->LdrLoadDll->...->LdrpCallInitRoutine->DllMain
Остается после вызова оригинальной NtMapViewOfSection узнать имя замапленной секции, и если это нужная длл, то "делаем нехорошие дела дальше".
Но принцип такой-же как и указанно выше
Автор: ononim
Дата: 28.09.17
уважаемым ononim-омДата: 28.09.17
A>А перехватываю я очень много. CreateFileAW/CloseHandle и практически все из списка. Как то так.
ну на всякий случай скину, может Ваш случай:
Faking KERNEL32.DLL — an Amateur Sandbox
Using Pragmas to Create a Proxy DLL
Forwarded DLL Exports and an Interesting Loader Behaviour
Re[3]: Перехвар api до вызова DLLMain
Здравствуйте, Aniskin, Вы писали:
A>Вот и хочу попробовать перехватывать API не после LoadLibrary, а до вызова DLLMain.
тогда до кучи — перехват NtMapViewOfSection, там как-то так получится:
Остается после вызова оригинальной NtMapViewOfSection узнать имя замапленной секции, и если это нужная длл, то "делаем нехорошие дела дальше".
Но принцип такой-же как и указанно выше
A>А перехватываю я очень много. CreateFileAW/CloseHandle и практически все из списка. Как то так.
ну на всякий случай скину, может Ваш случай:
Faking KERNEL32.DLL — an Amateur Sandbox
Using Pragmas to Create a Proxy DLL
Forwarded DLL Exports and an Interesting Loader Behaviour
A>Вот и хочу попробовать перехватывать API не после LoadLibrary, а до вызова DLLMain.
тогда до кучи — перехват NtMapViewOfSection, там как-то так получится:
LoadLibrary->LdrLoadDll->LdrpFindOrMapDll->LdrpMapViewOfSection->NtMapViewOfSection
...
LoadLibrary->LdrLoadDll->...->LdrpCallInitRoutine->DllMain
Остается после вызова оригинальной NtMapViewOfSection узнать имя замапленной секции, и если это нужная длл, то "делаем нехорошие дела дальше".
Но принцип такой-же как и указанно выше
Автор: ononim
Дата: 28.09.17
уважаемым ononim-ом.Дата: 28.09.17
A>А перехватываю я очень много. CreateFileAW/CloseHandle и практически все из списка. Как то так.
ну на всякий случай скину, может Ваш случай:
Faking KERNEL32.DLL — an Amateur Sandbox
Using Pragmas to Create a Proxy DLL
Forwarded DLL Exports and an Interesting Loader Behaviour