设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 技巧探讨 LoadLibrary解析(二)
返回列表 发新帖
查看: 6173|回复: 1

LoadLibrary解析(二)

[复制链接]
元始天尊
发表于 2015-6-14 12:17:37 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
为了实现隐藏dll,不得已出此文对LoadLibrary的解析,该函数比较庞大,尽管已经去除了很多无关代码,仍然有500行。
其中有重定位代码,值得借鉴

  1. HINSTANCE WINAPI LoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
  2. {
  3.         UNICODE_STRING DllName;
  4.         HINSTANCE hInst;
  5.         NTSTATUS Status;
  6.         PWSTR SearchPath;
  7.         ULONG DllCharacteristics = 0;
  8.         BOOL FreeString = FALSE;

  10.         RtlInitUnicodeString(&DllName, (LPWSTR)lpLibFileName);
  11.         //比较看是否为当前exe
  12.         if (BasepExeLdrEntry && !(dwFlags & LOAD_LIBRARY_AS_DATAFILE) && DllName.Length == BasepExeLdrEntry->FullDllName.Length)
  13.         {
  14.                 if (RtlEqualUnicodeString(&DllName, &BasepExeLdrEntry->FullDllName, TRUE))
  15.                 {
  16.                         return BasepExeLdrEntry->DllBase;
  17.                 }
  18.         }
  19.         //获取系统路径 Path
  20.         SearchPath = BaseComputeProcessDllPath((dwFlags & LOAD_WITH_ALTERED_SEARCH_PATH) ?DllName.Buffer : NULL,NULL);
  21.         Status = LdrLoadDll(SearchPath,&DllCharacteristics,&DllName,(PVOID*)&hInst);
  22. }

  24. NTSTATUS NTAPI LdrLoadDll(IN PWSTR SearchPath OPTIONAL,IN PULONG DllCharacteristics OPTIONAL,
  25.         IN PUNICODE_STRING DllName, OUT PVOID *BaseAddress)
  26. {
  27.         //初始化加载器锁
  28.         LdrLockLoaderLock(LDR_LOCK_LOADER_LOCK_FLAG_RAISE_ON_ERRORS, NULL, &Cookie);// Peb->LoaderLock = &LdrpLoaderLock;
  29.         Status = LdrpLoadDll(RedirectedDll,SearchPath,DllCharacteristics,DllName,BaseAddress,TRUE);
  30.         LdrUnlockLoaderLock(LDR_LOCK_LOADER_LOCK_FLAG_RAISE_ON_ERRORS, Cookie);
  31. }

  33. NTSTATUS NTAPI LdrpLoadDll(IN BOOLEAN Redirected,IN PWSTR DllPath OPTIONAL,IN PULONG DllCharacteristics OPTIONAL,
  34.         IN PUNICODE_STRING DllName,OUT PVOID *BaseAddress,IN BOOLEAN CallInit)
  35. {
  36.         PPEB Peb = NtCurrentPeb();
  37.         NTSTATUS Status = STATUS_SUCCESS;
  38.         const WCHAR *p;
  39.         BOOLEAN GotExtension;
  40.         WCHAR c;
  41.         WCHAR NameBuffer[MAX_PATH + 6];
  42.         UNICODE_STRING RawDllName;
  43.         PLDR_DATA_TABLE_ENTRY LdrEntry;
  44.         BOOLEAN InInit = LdrpInLdrInit;

  46.         //处理路径及后缀。。。。。。。。。

  48.         if (!LdrpCheckForLoadedDll(DllPath,&RawDllName,FALSE,Redirected,&LdrEntry))
  49.         {//如果未加载过则映射该DLL
  50.                 Status = LdrpMapDll(DllPath,DllPath,NameBuffer,DllCharacteristics,FALSE,Redirected,&LdrEntry);
  51.                 if (LdrEntry->LoadCount != 0xFFFF) LdrEntry->LoadCount++;
  52.                 LdrpUpdateLoadCount2(LdrEntry, LDRP_UPDATE_REFCOUNT);
  53.                 else if (LdrEntry->LoadCount != 0xFFFF)////如果不是dll,则只增加引用计数
  54.                 {
  55.                         LdrEntry->LoadCount++;
  56.                 }
  57.                 //插入Ldr链
  58.                 InsertTailList(&Peb->Ldr->InInitializationOrderModuleList,&LdrEntry->InInitializationOrderModuleList);
  59.         }
  60.         else
  61.         {//检查是否为dll映像
  62.                 if ((LdrEntry->Flags & LDRP_IMAGE_DLL) && (LdrEntry->LoadCount != 0xFFFF))
  63.                 {//增加引用计数
  64.                         LdrEntry->LoadCount++;
  65.                         LdrpUpdateLoadCount2(LdrEntry, LDRP_UPDATE_REFCOUNT);
  66.                         LdrpClearLoadInProgress();
  67.                 }
  68.                 else
  69.                 {
  70.                        
  71.                         if (LdrEntry->LoadCount != 0xFFFF) LdrEntry->LoadCount++;
  72.                 }
  73.         }
  74.         *BaseAddress = LdrEntry->DllBase;
  75. }

  77. BOOLEAN NTAPI LdrpCheckForLoadedDll(IN PWSTR DllPath,IN PUNICODE_STRING DllName,IN BOOLEAN Flag,IN BOOLEAN RedirectedDll,
  78.         OUT PLDR_DATA_TABLE_ENTRY *LdrEntry)
  79. {
  80.         //指定Flag则在预先生成的哈希表中查找
  81. lookinhash:
  82.         if (Flag)
  83.         {
  84.                 HashIndex = LDR_GET_HASH_ENTRY(DllName->Buffer[0]);
  85.                 //遍历对应哈希表存储的链表
  86.                 ListHead = &LdrpHashTable[HashIndex];
  87.                 ListEntry = ListHead->Flink;
  88.                 while (ListEntry != ListHead)
  89.                 {
  90.                         CurEntry = CONTAINING_RECORD(ListEntry, LDR_DATA_TABLE_ENTRY, HashLinks);
  91.                         if (RtlEqualUnicodeString(DllName, &CurEntry->BaseDllName, TRUE))
  92.                         {
  93.                                 *LdrEntry = CurEntry;
  94.                                 return TRUE;
  95.                         }
  96.                         ListEntry = ListEntry->Flink;
  97.                 }
  98.                 return FALSE;
  99.         }

  101.         //未指定Flag则查找并拼合完整路径,如果是相对路径则仍然用哈希表查找,否则用Ldr查找
  102.         if (!FullPath)//拼合过程略。。。。。。。
  103.         {
  104.                 Flag = TRUE;
  105.                 goto lookinhash;
  106.         }

  108.         ListHead = &NtCurrentPeb()->Ldr->InLoadOrderModuleList;
  109.         ListEntry = ListHead->Flink;
  110.         while (ListEntry != ListHead)
  111.         {
  112.                 CurEntry = CONTAINING_RECORD(ListEntry,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);
  113.                 ListEntry = ListEntry->Flink;
  114.                 if (!CurEntry->InMemoryOrderModuleList.Flink) continue;//如果正在被卸载
  115.                 if (RtlEqualUnicodeString(&FullDllName,&CurEntry->FullDllName,TRUE))
  116.                 {
  117.                         *LdrEntry = CurEntry;
  118.                         return TRUE;
  119.                 }
  120.         }

  122.         //如果路径名方式未能找到,则采用比对内存PE的方式决定是否加载过
  123.         if (!RtlDosPathNameToNtPathName_U(FullDllName.Buffer,&NtPathName,NULL,NULL))
  124.         {
  125.                 return FALSE;
  126.         }
  127.         //打开DLL文件并映射到虚拟内存
  128.         InitializeObjectAttributes(&ObjectAttributes,&NtPathName,OBJ_CASE_INSENSITIVE,NULL,NULL);
  129.         Status = NtOpenFile(&FileHandle,SYNCHRONIZE | FILE_EXECUTE,&ObjectAttributes,&Iosb,
  130.                 FILE_SHARE_READ | FILE_SHARE_DELETE,FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT);
  131.         RtlFreeHeap(RtlGetProcessHeap(), 0, NtPathName.Buffer);
  132.         Status = NtCreateSection(&SectionHandle,SECTION_MAP_READ |SECTION_MAP_EXECUTE |SECTION_MAP_WRITE,
  133.                 NULL,NULL,PAGE_EXECUTE,SEC_COMMIT,FileHandle);
  134.         NtClose(FileHandle);
  135.         Status = ZwMapViewOfSection(SectionHandle,NtCurrentProcess(),&ViewBase,0,0,NULL,&ViewSize,ViewShare,0,PAGE_EXECUTE);
  136.         NtClose(SectionHandle);
  137.         Status = RtlImageNtHeaderEx(0, ViewBase, ViewSize, &NtHeader);//获取NT头

  139.         //重新遍历Ldr,这次采用PE头比较方式判断
  140.         //LIST_ENTRY结构很有特点,双向循环链表,链表头为空节点,所以只需要遍历除了头结点以外的节点,现在终于搞清楚这个事实了^_^
  141.         ListHead = &NtCurrentPeb()->Ldr->InLoadOrderModuleList;
  142.         ListEntry = ListHead->Flink;
  143.         while (ListEntry != ListHead)
  144.         {
  145.                 CurEntry = CONTAINING_RECORD(ListEntry,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);
  146.                 ListEntry = ListEntry->Flink;
  147.                 if (!CurEntry->InMemoryOrderModuleList.Flink) continue;
  148.                 if ((CurEntry->TimeDateStamp == NtHeader->FileHeader.TimeDateStamp) &&
  149.                         (CurEntry->SizeOfImage == NtHeader->OptionalHeader.SizeOfImage))
  150.                 {
  151.                         NtHeader2 = RtlImageNtHeader(CurEntry->DllBase);
  152.                         if (RtlCompareMemory(NtHeader2, NtHeader, sizeof(IMAGE_NT_HEADERS)))
  153.                         {
  154.                                 Status = ZwAreMappedFilesTheSame(CurEntry->DllBase, ViewBase);
  155.                                 if (NT_SUCCESS(Status))
  156.                                 {
  157.                                         *LdrEntry = CurEntry;
  158.                                         NtUnmapViewOfSection(NtCurrentProcess(), ViewBase);
  159.                                         _SEH2_YIELD(return TRUE;)
  160.                                 }
  161.                         }
  162.                 }
  163.         }
  164. }

  166. NTSTATUS NTAPI LdrpMapDll(IN PWSTR SearchPath OPTIONAL,IN PWSTR DllPath2, IN PWSTR DllName OPTIONAL, IN PULONG DllCharacteristics,
  167.       IN BOOLEAN Static,IN BOOLEAN Redirect, OUT PLDR_DATA_TABLE_ENTRY *DataTableEntry)
  168. {
  169.         //检查是否加载过
  170. SkipCheck:
  171.     if (!SectionHandle)
  172.     {//如果未加载
  173.         if (LdrpResolveDllName(SearchPath, DllName,&FullDllName, &BaseDllName))
  174.         {
  175.             RtlDosPathNameToNtPathName_U(FullDllName.Buffer, &NtPathDllName, NULL, NULL);
  176.             Status = LdrpCreateDllSection(&NtPathDllName,DllHandle,DllCharacteristics,&SectionHandle);
  177.             RtlFreeHeap(RtlGetProcessHeap(), 0, NtPathDllName.Buffer);
  178.         }
  179.     }
  180.     else
  181.     {
  182.         KnownDll = TRUE;
  183.     }

  185.     ArbitraryUserPointer = Teb->NtTib.ArbitraryUserPointer;
  186.     Teb->NtTib.ArbitraryUserPointer = FullDllName.Buffer;
  187.         //映射dll
  188.     ViewBase = NULL;
  189.     ViewSize = 0;
  190.     Status = NtMapViewOfSection(SectionHandle,NtCurrentProcess(), &ViewBase,0,0,NULL,&ViewSize,ViewShare, 0, PAGE_READWRITE);
  191.     Teb->NtTib.ArbitraryUserPointer = ArbitraryUserPointer;
  192.         NtHeaders = RtlImageNtHeader(ViewBase);//检查pe头
  193.     LdrEntry = LdrpAllocateDataTableEntry(ViewBase);//构造链表节点
  194.     LdrEntry->Flags = Static ? LDRP_STATIC_LINK : 0;
  195.     if (Redirect) LdrEntry->Flags |= LDRP_REDIRECTED;
  196.     LdrEntry->LoadCount = 0;
  197.     LdrEntry->FullDllName = FullDllName;
  198.     LdrEntry->BaseDllName = BaseDllName;
  199.     LdrEntry->EntryPoint = LdrpFetchAddressOfEntryPoint(LdrEntry->DllBase);//获取入口点
  200.     LdrpInsertMemoryTableEntry(LdrEntry);//插入新节点到ldr
  201.     *DataTableEntry = LdrEntry;

  203.     //如果需要重定位
  204.     if (Status == STATUS_IMAGE_NOT_AT_BASE)
  205.     {
  206.         LdrEntry->Flags |= LDRP_IMAGE_NOT_AT_BASE;
  207.         ImageBase = (ULONG_PTR)NtHeaders->OptionalHeader.ImageBase;
  208.         ImageEnd = ImageBase + ViewSize;
  209.         ListHead = &Peb->Ldr->InLoadOrderModuleList;
  210.         NextEntry = ListHead->Flink;
  211.         while (NextEntry != ListHead)
  212.         {
  213.             CandidateEntry = CONTAINING_RECORD(NextEntry,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);
  214.             NextEntry = NextEntry->Flink;
  215.             CandidateBase = (ULONG_PTR)CandidateEntry->DllBase;
  216.             CandidateEnd = CandidateBase + CandidateEntry->SizeOfImage;
  217.             if (!CandidateEntry->InMemoryOrderModuleList.Flink) continue;
  218.             if ((ImageBase >= CandidateBase && ImageBase <= CandidateEnd) ||
  219.                 (ImageEnd >= CandidateBase && ImageEnd <= CandidateEnd) ||
  220.                 (CandidateBase >= ImageBase && CandidateBase <= ImageEnd))
  221.             {
  222.                 OverlapDllFound = TRUE;
  223.                 OverlapDll = CandidateEntry->FullDllName;
  224.                 break;
  225.             }
  226.         }

  228.         if (LdrEntry->Flags & LDRP_IMAGE_DLL)
  229.         {
  230.             if (!(NtHeaders->FileHeader.Characteristics & IMAGE_FILE_RELOCS_STRIPPED))
  231.             {
  232.                 RelocData = RtlImageDirectoryEntryToData(ViewBase, TRUE, IMAGE_DIRECTORY_ENTRY_BASERELOC,  &RelocDataSize);
  233.             }

  235.                         //禁止user32.dll  kernel32.dll重定位
  236.                         //更改节保护属性
  237.             Status = LdrpSetProtection(ViewBase, FALSE);
  238.             if (NT_SUCCESS(Status))
  239.             {//进行重定位
  240.                 Status = LdrRelocateImageWithBias(ViewBase, 0LL, NULL, STATUS_SUCCESS,STATUS_CONFLICTING_ADDRESSES, STATUS_INVALID_IMAGE_FORMAT);//进行重定向
  241.                 if (NT_SUCCESS(Status))
  242.                 {
  243.                     ArbitraryUserPointer = Teb->NtTib.ArbitraryUserPointer;
  244.                     Teb->NtTib.ArbitraryUserPointer = FullDllName.Buffer;
  245.                     Teb->NtTib.ArbitraryUserPointer = ArbitraryUserPointer;
  246.                     Status = LdrpSetProtection(ViewBase, TRUE);//还原节保护属性
  247.                 }
  248.             }
  249.         }
  250.     }
  251.     NtClose(SectionHandle);
  252.     return Status;
  253. }

  255. NTSTATUS NTAPI LdrpCreateDllSection(IN PUNICODE_STRING FullName,IN HANDLE DllHandle,IN PULONG DllCharacteristics OPTIONAL,OUT PHANDLE SectionHandle)
  256. {
  257.         if (!DllHandle)
  258.         {
  259.                 InitializeObjectAttributes(&ObjectAttributes,FullName,OBJ_CASE_INSENSITIVE,NULL,NULL);
  260.                 Status = NtOpenFile(&FileHandle,SYNCHRONIZE | FILE_EXECUTE | FILE_READ_DATA,&ObjectAttributes,&IoStatusBlock,
  261.                         FILE_SHARE_READ | FILE_SHARE_DELETE,FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT);
  262.                 if (!NT_SUCCESS(Status))
  263.                 {//尝试以只读方式打开
  264.                         Status = NtOpenFile(&FileHandle,SYNCHRONIZE | FILE_EXECUTE,&ObjectAttributes,&IoStatusBlock,
  265.                                 FILE_SHARE_READ | FILE_SHARE_DELETE,FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT);
  266.                 }
  267.         }
  268.         else
  269.         {
  270.                 FileHandle = DllHandle;
  271.         }
  272.         Status = NtCreateSection(SectionHandle,SECTION_MAP_READ | SECTION_MAP_EXECUTE |SECTION_MAP_WRITE | SECTION_QUERY,
  273.                 NULL,NULL,PAGE_EXECUTE,SEC_IMAGE,FileHandle);
  274.         NtClose(FileHandle);
  275.         return Status;
  276. }

  278. PLDR_DATA_TABLE_ENTRY NTAPI LdrpAllocateDataTableEntry(IN PVOID BaseAddress)
  279. {
  280.         PLDR_DATA_TABLE_ENTRY LdrEntry = NULL;
  281.         PIMAGE_NT_HEADERS NtHeader;

  283.         NtHeader = RtlImageNtHeader(BaseAddress);
  284.         if (NtHeader)
  285.         {
  286.                 LdrEntry = RtlAllocateHeap(RtlGetProcessHeap(),HEAP_ZERO_MEMORY,sizeof(LDR_DATA_TABLE_ENTRY));
  287.                 if (LdrEntry)
  288.                 {
  289.                         LdrEntry->DllBase = BaseAddress;
  290.                         LdrEntry->SizeOfImage = NtHeader->OptionalHeader.SizeOfImage;
  291.                         LdrEntry->TimeDateStamp = NtHeader->FileHeader.TimeDateStamp;
  292.                         LdrEntry->PatchInformation = NULL;
  293.                 }
  294.         }
  295.         return LdrEntry;
  296. }

  298. PVOID NTAPI LdrpFetchAddressOfEntryPoint(IN PVOID ImageBase)
  299. {
  300.         PIMAGE_NT_HEADERS NtHeaders;
  301.         ULONG_PTR EntryPoint = 0;
  302.         NtHeaders = RtlImageNtHeader(ImageBase);
  303.         if (NtHeaders)
  304.         {
  305.                 EntryPoint = NtHeaders->OptionalHeader.AddressOfEntryPoint;
  306.                 if (EntryPoint) EntryPoint += (ULONG_PTR)ImageBase;
  307.         }
  308.         return (PVOID)EntryPoint;
  309. }

  311. VOID NTAPI LdrpInsertMemoryTableEntry(IN PLDR_DATA_TABLE_ENTRY LdrEntry)
  312. {
  313.         PPEB_LDR_DATA PebData = NtCurrentPeb()->Ldr;
  314.         ULONG i;
  315.         i = LDR_GET_HASH_ENTRY(LdrEntry->BaseDllName.Buffer[0]);
  316.         InsertTailList(&LdrpHashTable[i], &LdrEntry->HashLinks);
  317.         InsertTailList(&PebData->InLoadOrderModuleList, &LdrEntry->InLoadOrderLinks);
  318.         InsertTailList(&PebData->InMemoryOrderModuleList, &LdrEntry->InMemoryOrderModuleList);
  319. }

  321. NTSTATUS NTAPI LdrpSetProtection(PVOID ViewBase,BOOLEAN Restore)
  322. {
  323.         PIMAGE_NT_HEADERS NtHeaders;
  324.         PIMAGE_SECTION_HEADER Section;
  325.         NTSTATUS Status;
  326.         PVOID SectionBase;
  327.         SIZE_T SectionSize;
  328.         ULONG NewProtection, OldProtection, i;

  330.         NtHeaders = RtlImageNtHeader(ViewBase);
  331.         if (!NtHeaders) return STATUS_INVALID_IMAGE_FORMAT;
  332.         Section = IMAGE_FIRST_SECTION(NtHeaders);
  333.         for (i = 0; i < NtHeaders->FileHeader.NumberOfSections; i++)
  334.         {
  335.                 if ((Section->SizeOfRawData) && !(Section->Characteristics & IMAGE_SCN_MEM_WRITE))
  336.                 {
  337.                         if (Restore)
  338.                         {
  339.                                 if (Section->Characteristics & IMAGE_SCN_MEM_EXECUTE)
  340.                                 {
  341.                                         NewProtection = PAGE_EXECUTE;
  342.                                 }
  343.                                 else
  344.                                 {
  345.                                         NewProtection = PAGE_READONLY;
  346.                                 }

  348.                                 if (Section->Characteristics & IMAGE_SCN_MEM_NOT_CACHED)
  349.                                 {
  350.                                         NewProtection |= PAGE_NOCACHE;
  351.                                 }
  352.                         }
  353.                         else
  354.                         {
  355.                                 NewProtection = PAGE_READWRITE;
  356.                         }

  358.                         SectionBase = (PVOID)((ULONG_PTR)ViewBase + Section->VirtualAddress);
  359.                         SectionSize = Section->SizeOfRawData;
  360.                         if (SectionSize)
  361.                         {
  362.                                 Status = ZwProtectVirtualMemory(NtCurrentProcess(),&SectionBase,&SectionSize,NewProtection,&OldProtection);
  363.                                 if (!NT_SUCCESS(Status)) return Status;
  364.                         }
  365.                 }
  366.                 Section++;
  367.         }
  368.         if (Restore) ZwFlushInstructionCache(NtCurrentProcess(), NULL, 0);
  369.         return STATUS_SUCCESS;
  370. }

  372. ULONG NTAPI LdrRelocateImageWithBias(IN PVOID BaseAddress,IN LONGLONG AdditionalBias,IN PCCH  LoaderName,IN ULONG Success,IN ULONG Conflict,IN ULONG Invalid)
  373. {
  374.         PIMAGE_NT_HEADERS NtHeaders;
  375.         PIMAGE_DATA_DIRECTORY RelocationDDir;
  376.         PIMAGE_BASE_RELOCATION RelocationDir, RelocationEnd;
  377.         ULONG Count;
  378.         ULONG_PTR Address;
  379.         PUSHORT TypeOffset;
  380.         LONGLONG Delta;

  382.         NtHeaders = RtlImageNtHeader(BaseAddress);
  383.         if (NtHeaders == NULL)
  384.                 return Invalid;
  385.         if (SWAPW(NtHeaders->FileHeader.Characteristics) & IMAGE_FILE_RELOCS_STRIPPED)
  386.         {
  387.                 return Conflict;
  388.         }
  389.         RelocationDDir = &NtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
  390.         if (SWAPD(RelocationDDir->VirtualAddress) == 0 || SWAPD(RelocationDDir->Size) == 0)
  391.         {
  392.                 return Success;
  393.         }
  394.         Delta = (ULONG_PTR)BaseAddress - SWAPD(NtHeaders->OptionalHeader.ImageBase) + AdditionalBias;
  395.         RelocationDir = (PIMAGE_BASE_RELOCATION)((ULONG_PTR)BaseAddress + SWAPD(RelocationDDir->VirtualAddress));
  396.         RelocationEnd = (PIMAGE_BASE_RELOCATION)((ULONG_PTR)RelocationDir + SWAPD(RelocationDDir->Size));
  397.         while (RelocationDir < RelocationEnd && SWAPW(RelocationDir->SizeOfBlock) > 0)
  398.         {
  399.                 Count = (SWAPW(RelocationDir->SizeOfBlock) - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(USHORT);
  400.                 Address = (ULONG_PTR)RVA(BaseAddress, SWAPD(RelocationDir->VirtualAddress));
  401.                 TypeOffset = (PUSHORT)(RelocationDir + 1);
  402.                 RelocationDir = LdrProcessRelocationBlockLongLong(Address,Count,TypeOffset,Delta);
  403.                 if (RelocationDir == NULL)
  404.                 {
  405.                         DPRINT1("Error during call to LdrProcessRelocationBlockLongLong()!\n");
  406.                         return Invalid;
  407.                 }
  408.         }
  409.         return Success;
  410. }

  412. PIMAGE_BASE_RELOCATION NTAPI LdrProcessRelocationBlockLongLong(IN ULONG_PTR Address,IN ULONG Count,IN PUSHORT TypeOffset,IN LONGLONG Delta)
  413. {
  414.     for (i = 0; i < Count; i++)
  415.     {
  416.         Offset = SWAPW(*TypeOffset) & 0xFFF;
  417.         Type = SWAPW(*TypeOffset) >> 12;
  418.         ShortPtr = (PUSHORT)(RVA(Address, Offset));
  419.         /*
  420.         if ((ULONG_PTR)ShortPtr < (ULONG_PTR)RelocationDir ||
  421.         (ULONG_PTR)ShortPtr >= (ULONG_PTR)RelocationEnd)
  422.         {*/
  423.         switch (Type)
  424.         {
  425.             /* case IMAGE_REL_BASED_SECTION : */
  426.             /* case IMAGE_REL_BASED_REL32 : */
  427.         case IMAGE_REL_BASED_ABSOLUTE:
  428.             break;
  429.         case IMAGE_REL_BASED_HIGH:
  430.             *ShortPtr = HIWORD(MAKELONG(0, *ShortPtr) + (Delta & 0xFFFFFFFF));
  431.             break;
  432.         case IMAGE_REL_BASED_LOW:
  433.             *ShortPtr = SWAPW(*ShortPtr) + LOWORD(Delta & 0xFFFF);
  434.             break;
  435.         case IMAGE_REL_BASED_HIGHLOW:
  436.             LongPtr = (PULONG)RVA(Address, Offset);
  437.             *LongPtr = SWAPD(*LongPtr) + (Delta & 0xFFFFFFFF);
  438.             break;
  439.         case IMAGE_REL_BASED_DIR64:
  440.             LongLongPtr = (PUINT64)RVA(Address, Offset);
  441.             *LongLongPtr = SWAPQ(*LongLongPtr) + Delta;
  442.             break;
  443.         case IMAGE_REL_BASED_HIGHADJ:
  444.         case IMAGE_REL_BASED_MIPS_JMPADDR:
  445.         default:
  446.             return (PIMAGE_BASE_RELOCATION)NULL;
  447.         }
  448.         TypeOffset++;
  449.     }
  450.     return (PIMAGE_BASE_RELOCATION)TypeOffset;
  451. }
复制代码
回复

使用道具 举报

元始天尊
 楼主| 发表于 2015-6-14 17:07:31 | 显示全部楼层
  1. BOOL WINAPI FreeLibrary(HINSTANCE hLibModule)
  2. {
  3.         NtHeaders = RtlImageNtHeader((PVOID)((ULONG_PTR)hLibModule & ~1));
  4.         Status = NtUnmapViewOfSection(NtCurrentProcess(), (PVOID)((ULONG_PTR)hLibModule & ~1));
  5.         Status = LdrUnloadDll((PVOID)hLibModule);
  6. }

  8. NTSTATUS NTAPI LdrUnloadDll(IN PVOID BaseAddress)
  9. {
  10.         //获取ldr记录
  11.         LdrpCheckForLoadedDllHandle(BaseAddress, &LdrEntry);
  12.         if (LdrEntry->LoadCount != 0xFFFF)
  13.         {//降低引用计数
  14.                 LdrEntry->LoadCount--;
  15.                 if (LdrEntry->Flags & LDRP_IMAGE_DLL)
  16.                 {
  17.                         LdrpUpdateLoadCount2(LdrEntry, LDRP_UPDATE_DEREFCOUNT);
  18.                 }
  19.         }
  20.         NextEntry = Peb->Ldr->InInitializationOrderModuleList.Blink;
  21.         while (NextEntry != &Peb->Ldr->InInitializationOrderModuleList)
  22.         {
  23.                 LdrEntry = CONTAINING_RECORD(NextEntry,LDR_DATA_TABLE_ENTRY,InInitializationOrderModuleList);
  24.                 NextEntry = NextEntry->Blink;
  25.                 LdrEntry->Flags &= ~LDRP_UNLOAD_IN_PROGRESS;
  26.                 if (!LdrEntry->LoadCount)
  27.                 {
  28.                         CurrentEntry = LdrEntry;
  29.                         RemoveEntryList(&CurrentEntry->InInitializationOrderModuleList);
  30.                         RemoveEntryList(&CurrentEntry->InMemoryOrderModuleList);
  31.                         RemoveEntryList(&CurrentEntry->HashLinks);
  32.                         InsertTailList(&LdrpUnloadHead, &CurrentEntry->HashLinks);
  33.                 }
  34.         }

  36.         InitializeListHead(&UnloadList);
  37.         CurrentEntry = NULL;
  38.         NextEntry = LdrpUnloadHead.Flink;
  39.         while (NextEntry != &LdrpUnloadHead)
  40.         {
  41.                 LdrEntry = CONTAINING_RECORD(NextEntry, LDR_DATA_TABLE_ENTRY, HashLinks);
  42.                 CurrentEntry = LdrEntry;
  43.                 LdrpLoadedDllHandleCache = NULL;
  44.                 CurrentEntry->InMemoryOrderModuleList.Flink = NULL;
  45.                 RemoveEntryList(&CurrentEntry->HashLinks);
  46.                 InsertTailList(&UnloadList, &CurrentEntry->HashLinks);
  47.                 EntryPoint = LdrEntry->EntryPoint;
  48.                 if ((EntryPoint) && (LdrEntry->Flags & LDRP_PROCESS_ATTACH_CALLED))
  49.                 {
  50.                         LdrpCallInitRoutine(LdrEntry->EntryPoint,LdrEntry->DllBase,DLL_PROCESS_DETACH,NULL);
  51.                 }
  52.                 RemoveEntryList(&CurrentEntry->InLoadOrderLinks);
  53.                 CurrentEntry = NULL;
  54.                 NextEntry = LdrpUnloadHead.Flink;
  55.         }
  56.         NextEntry = UnloadList.Flink;
  57.         while (NextEntry != &UnloadList)
  58.         {
  59.                 LdrEntry = CONTAINING_RECORD(NextEntry, LDR_DATA_TABLE_ENTRY, HashLinks);
  60.                 NextEntry = NextEntry->Flink;
  61.                 CurrentEntry = LdrEntry;
  62.                 CorImageData = RtlImageDirectoryEntryToData(LdrEntry->DllBase,TRUE,IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR,&ComSectionSize);
  63.                 if (!(CurrentEntry->Flags & LDR_COR_OWNS_UNMAP))
  64.                 {
  65.                         Status = NtUnmapViewOfSection(NtCurrentProcess(),CurrentEntry->DllBase);
  66.                         ASSERT(NT_SUCCESS(Status));
  67.                 }
  68.                 LdrpFinalizeAndDeallocateDataTableEntry(CurrentEntry);
  69.         }
  70. Quickie:
  71.         if (!LdrpInLdrInit) RtlLeaveCriticalSection(Peb->LoaderLock);
  72. }
复制代码
回复 赞! 靠!

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-22 14:01 , Processed in 0.030338 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表