Здравствуйте, Aniskin, Вы писали:

A>Вот и хочу попробовать перехватывать API не после LoadLibrary, а до вызова DLLMain.

тогда до кучи — перехват NtMapViewOfSection, там как-то так получится:

LoadLibrary->LdrLoadDll->LdrpFindOrMapDll->LdrpMapViewOfSection->NtMapViewOfSection
...
LoadLibrary->LdrLoadDll->...->LdrpCallInitRoutine->DllMain

Остается после вызова оригинальной NtMapViewOfSection узнать имя замапленной секции, и если это нужная длл, то "делаем нехорошие дела дальше".
Но принцип такой-же как и указанно выше

Автор: ononim
Дата: 28.09.17

уважаемым ononim-ом.


A>А перехватываю я очень много. CreateFileAW/CloseHandle и практически все из списка. Как то так.

ну на всякий случай скину, может Ваш случай:

Faking KERNEL32.DLL — an Amateur Sandbox
Using Pragmas to Create a Proxy DLL
Forwarded DLL Exports and an Interesting Loader Behaviour