Здравствуйте, Aniskin, Вы писали:
A>Вот и хочу попробовать перехватывать API не после LoadLibrary, а до вызова DLLMain.
тогда до кучи — перехват
NtMapViewOfSection, там как-то так получится:
LoadLibrary->LdrLoadDll->LdrpFindOrMapDll->LdrpMapViewOfSection->NtMapViewOfSection
...
LoadLibrary->LdrLoadDll->...->LdrpCallInitRoutine->DllMain
Остается после вызова оригинальной NtMapViewOfSection узнать имя замапленной секции, и если это нужная длл, то "делаем нехорошие дела дальше".
Но принцип такой-же как и указанно
вышеАвтор: ononim
Дата: 28.09.17
уважаемым ononim-ом.
A>А перехватываю я очень много. CreateFileAW/CloseHandle и практически все из списка. Как то так.
ну на всякий случай скину, может Ваш случай:
Faking KERNEL32.DLL — an Amateur Sandbox
Using Pragmas to Create a Proxy DLL
Forwarded DLL Exports and an Interesting Loader Behaviour