20.4 函数转发器

(1)函数转发器原理(下图是利用Dependency Walker打开Kernel32.dll得到)

  ①图中CloseThreadpool*等4个函数转发到NTDLL中相应的函数中去了,但我们调用CloseThreadpool*等函数时,exe会被动态地链接到Kernel32.dll。当执行exe时,加载程序会发现被转发的函数实际上在NTDLL.dll中,然后它会将NTDLL.dll模块一并载入。

  ②当我们调用CloseThreadpool*函数时,那么调用GetProcAddress先在Kernel32的导出段是查找,并发现CloseThreadpool*是一个转发器函数,于是它会递归调用GetProcessAddress,在NTDLL  的导出段中查找相应的函数。

(2)实现自己的函数转发器

 #pragma comment(linker,"/export:MyFunc =OtherDll.OtherFunc")

//即正在编译的Dll输出一个名为MyFunc的函数,但实际上这个函数在另一个叫OtherDll.dll模块中,函数名为OtherFunc.

20.5 己知的DLL

(1)操作系统对某些DLL进行了特殊处理,这些Dll被称为己知的Dll。在载入它们的时候,总是从"%SystemRoot%\System32"目录下查找。这些Dll被记录在注册表中如下的位置

(2)当LoadLibrary(TEXT("A_Dll"))时,系统会用正常的搜索规则来定位这个Dll。但如果调用LoadLibrary(TEXT("A_Dll.dll"))时,系统会先将扩展名.dll去掉,然后在注册表查找名称为"A_Dll"的一项,并将载入该项后面“数据”项里指向的Dll(注意,这个Dll会在"%SystemRoot%\System32"目录里查找),如果载入不成功,会返回NULL,GetLastError将返回(ERROR_FILE_NOT_FOUND).

20.6 DLL重定向

(1)早期Windows为了文件共享,将多个应用程序共享的所有模块都放在Windows系统目录中,但会出现一个严重问题,因为安装程序会用老版本的文件覆盖这个目录中的文件,从而妨碍其他应用程序的正常运行。

(2)从Windows2000开始,新增了DLL重定向特性,使得应用程序首先从应用程序的目录中载入模块,只有当加载程序无法找到这个文件时,才会在其他目录中搜索。

(3)为了强制加载程序先检查应用程序的目录,可以在应用程序目录中,建一个文件名为AppName.local的文件(此处的AppName如MyApp.exe),内容无关紧要。

(4)LoadLibrary(Ex)在内部做了修改,来检查这个文件是否存在,如果应用程序目录中存在这个文件,便载入这个目录中的模块。如果不存在该.local文件,则工作方式与以往相同。

(5)由于安全性缘故,该特性默认是关闭的,因为它会使系统从应用程序的文件夹中载为伪造的系统DLL,而不是从Windows的系统文件夹中载入真正的系统DLL。为打开这个特性,可以HKLM\Software\Microsoft\WindowsNT\CurrentVesion\Image File Execution Options注册表项中增一个项名为DevOverrideEnable的DWORD型项,并将值设为1。

20.7 模块的基地址重定位

(1)基址重定位的原因

int g_x;

void Func(){
g_x = ; //该行很重要,当编译和链接该行成会生成Mov [0xXXXXXXXX],5之类的代码
}

  ①一般EXE的首选基地址为0x00400000,DLL为0x1000000。当运行exe时,加载程序为进程创建一个虚拟地址空间,并将exe映射到0x00400000处,g_x变量的变成0x00414540之类的固定地址。而当该这些代码是位于DLL模块时,这个地址将被固定为类似0x10014540之类的地址(前提是该DLL被加载到首选地址处)。

  ②对于EXE来说,会被加载到首选基地址处而不会造成冲突。但DLL则不一样,如果有两个DLL的首选基地址都是0x10000000。加载程序会将第1个DLL加载到首选地址上,但会对第2个DLL模块进行重定位(如加载到0x20000000),则g_x的地址会被修改为0x20014540,即汇编代码为Mov [0x20014540],5。

(2)EXE或(Dll)重定位的缺点

  ①当链接器在构建模块时,会将重定位段(relocation section)嵌入在生成的文件中。重定位表中的有用数据是那些需要重定位机器码所使用到的内存地址的偏移量。

  ②如果加载程序无法将模块载入到它的首选基地址,那么系统会遍历重定位段中的所有条目,对每一个条目,加载程序会先找到机器指令的那个存储页面。然后将模块的首选基地址减去实际映射地址,将这个差值加到机器指令使用的地址上。因为加载程序必须遍历重定位段并修改模块中的大量代码,这个过程会牺牲程序的启动时间。

  ③当加载程序写入模块的代码页面中时,系统的写时复制会强制这些页面以系统的页交换文件为后备存储器。因为页交换文件是所有模块(如EXE或DLL)的代码页面的后备存储器,所以这也会损害性能,减少可供系统中所有进程使用的存储器的数量。

(3)指定DLL基地址的方法

  ①方法1:在“配置属性”→“链接器”→“高级”→“基址”输入如0x20000000之类。同时“固定基址”这项选项“是(/Fixed)”。注意,为了少地址空间碎片,应该总是先从高内存地址开始载入DLL,然后再到低内存地址。

  ②方法2:

  A.创建一个文件文件,在其中按照下述语法指定每个DLL的基地址和大小(大小可选)

  key  address [size]  ;comment

  其中key是一个字母数字组成的字符串,不区分大小写;通常是Dll的名称,但不必非是;只要和在/BASE中指定一样就行。Address是十六进制或十进制表示的基址。Size是可选的,一般为最大DLL的size。

  B.将这个文本文件放到链接器可以搜到的地方

  C.在动态库项目的基址选项中指定@filename,key格式的命令,其中@是固定前缀,filename就是刚才的文本文件,可以指定完整路径名,key就是文本文件中指定的key

【CustomDLL程序】演示修改写DLL入口点函数及用方法2指定基地址

//CustomDll.dll

#include <tchar.h>
#include <windows.h>
#include <strsafe.h>
#include <locale.h> //更改入口点:要在“配置属性”→“链接器”→“高级”→“入口点”中输入"MyDllMain"
BOOL APIENTRY MyDllMain(HMODULE hModule, DWORD dwReason, LPVOID lpReserved)
{
switch (dwReason)
{
case DLL_PROCESS_ATTACH:
_tsetlocale(LC_ALL, TEXT("chs"));
_tprintf(_T("进程[%u]调用线程[0x%x]加载DLL[0x%08x]\n"),
GetCurrentProcessId(), GetCurrentThreadId(), hModule);
break; case DLL_THREAD_ATTACH:
_tprintf(_T("进程[%u]新建线程[0x%x]调用DLL[0x%08x]入口\n"),
GetCurrentProcessId(), GetCurrentThreadId(), hModule);
break; case DLL_THREAD_DETACH:
_tprintf(_T("进程[%u]线程[0x%x]退出调用DLL[0x%08x]入口\n"),
GetCurrentProcessId(), GetCurrentThreadId(), hModule);
break; case DLL_PROCESS_DETACH:
_tprintf(_T("进程[%u]退出通过线程[0x%x]调用DLL[0x%08x]入口\n"),
GetCurrentProcessId(), GetCurrentThreadId(), hModule);
break;
} return TRUE;
} __declspec(dllexport) void Func(void){
_tprintf(_T("进程[%x]中线程[0x%x]调用DLL[0x%08x]测试函数Func\n"),
GetCurrentProcessId(), GetCurrentThreadId(), GetModuleHandle(_T("20_CustomDll.dll")));
}

//Test.cpp

#include <tchar.h>
#include <windows.h>
#include <strsafe.h> void Func(void); #pragma comment(lib,"../../Debug/20_CustomDLL.lib") int _tmain()
{
Func();
return ;
}

(4)改变编译后的DLL基址——利用editbin工具(方法:VS2013的IDE“工具”菜单→“Visual Studio命令提示”下输入“editbin”,这个工具有个/Rebase选项。

20.8 模块的绑定

(1)模块绑定原因

①可执行模块的导入段中有一个 (IAT,Import Address Table) , 载入之前这个表是空的,可执行模块载入的时候,载入程序会加载需要的 dll ,获取 dll 的基地址,获取导出符号的 RVA ,基地址加上 RVA 就是导出符号的真实地址,每个导出符号的真实地址都会被加载程序填充到IAT表中;

②可执行模块运行期间如果调用了某个dll的导出函数,那么会跳转到IAT来得到这个导出函数的地址,然后进行调用。

③IAT 中填充的是 dll 载入到地址空间的基地址+RVA。RVA在 dll 的导出段中已经有了,而通过基地址重定位技术可以确定 dll 载入的基地址是多少。也就是说如果一个 dll 已经进行过重定位,就可以直接推算出它的IAT 应该填充哪些内容。如果一开始就将DLL导出符号的虚拟地址填充到这个IAT表的话,载入程序就不需要进行填充工作了,这可以加快应用程序的初始化速度。

④进行这种填充类似于将所需的 dll 与可执行文件绑定在一起,可执行文件的IAT 与 dll 的基地址和导出符号 RVA 一一对应,所以这种技术被称为模块绑定技术。

(2)Bind.exe工具

  ①工作原理:Bind的工作原理正如上面所写的那样,读取所有 dll 的基地址和RVA,将其填充到可执行文件的 Import Address Table 中

  ②Bind工作过程

    A、它会打开指定的Exe映像文件的导入段

    B、对导入段中列出的每个DLL,它会查看该DLL的文件头,来确定该DLL的首先基地址。

    C、它会在DLL的导出段中查看每个符号。

    D、它会取得符号的RVA,并将它与模块的首选基地址相加。并将计算得到的地址写入EXE的导入段的IAT表中。

    E、在IAT表中除了写入符号的虚拟地址,还会添加一些额外的信息,如DLL模块的名称及各模块的时间戳。

  ③使用Bind的注意事项

    A、当进程初始化的时候,所需的DLL应该都被载入到他们的首选基地址(这一点可使用前面介绍的Rebase工具来保证)

    B、自从绑定完以后,DLL导出段中所引用的符号位置没有发生变化。加载程序会通过检查每个DLL的时间戳来验证这一点,这个时间戳是在前面提到的第5步中保存的。

    C、何时使用 Bind.exe 进行模块绑定呢?因为不同的 Windows 版本系统 dll 可能会不同,所以针对不同版本的 Windows需要分别进行绑定,我们可以在应用程序的安装过程中来进行绑定。

第20章 DLL高级技术(3)的更多相关文章

  1. 第20章 DLL高级技术(1)

    20.1 DLL模块的显式载入和符号链接 20.1.1 显式载入DLL模块 (1)构建DLL时,如果至少导出一个函数/变量,那么链接器会同时生成一个.lib文件,但这个文件只是在隐式链接DLL时使用( ...

  2. 第20章 DLL高级技术(2)

    20.3 延迟载入DLL 20.3.1延迟载入的目的 (1)如果应用程序使用了多个DLL,那么它的初始化可能比慢,因为加载程序要将所有必需的DLL映射到进程的地址空间.→利用延迟加载可将载入过程延伸到 ...

  3. 《Windows核心编程系列》二十谈谈DLL高级技术

    本篇文章将介绍DLL显式链接的过程和模块基地址重定位及模块绑定的技术. 第一种将DLL映射到进程地址空间的方式是直接在源代码中引用DLL中所包含的函数或是变量,DLL在程序运行后由加载程序隐式的载入, ...

  4. 第7章—SpringMVC高级技术—不用web.xml,而使用java类配置SpringMVC

    不用web.xml,而使用java类配置SpringMVC DispatcherServlet是Spring MVC的核心,按照传统方式, 需要把它配置到web.xml中. 我个人比较不喜欢XML配置 ...

  5. 第7章—SpringMVC高级技术—处理异常

    处理异常 处理异常 不管发生什么事情,不管是好的还是坏的,Servlet请求的输出都是一个Servlet响应.如果在请求处理的时候,出现了异常,那它的输出依然会是Servlet响应.异常必须要以某种方 ...

  6. 第7章—SpringMVC高级技术—处理multipart形式的数据

    处理multipart形式的数据 MultipartResolver 用于处理文件上传,当收到请求时 DispatcherServlet 的 checkMultipart() 方法会调用 Multip ...

  7. 第07章-Spring MVC 的高级技术

    Spring MVC 的高级技术 1. Spring MVC配置的替代方案 1.1 自定义DispatcherServlet配置 AbstractAnnotationConfigDispatcherS ...

  8. 【ASP.NET Identity系列教程(三)】Identity高级技术

    注:本文是[ASP.NET Identity系列教程]的第三篇.本系列教程详细.完整.深入地介绍了微软的ASP.NET Identity技术,描述了如何运用ASP.NET Identity实现应用程序 ...

  9. ASP.NET Identity系列教程-4【Identity高级技术】

    https://www.cnblogs.com/r01cn/p/5194257.html 15 ASP.NET Identity高级技术 In this chapter, I finish my de ...

随机推荐

  1. mysql下一个版本应该且实现并不复杂增加的常用功能

    1.innodb的auto_increment应该在参考oracle的实现方式,定期持久化: 我们目前遇到个问题,出于性能考虑,我们每天会把当天处理完成的数据归到另外一张历史表,并清空,同时有可能会重 ...

  2. SQL数据库基础(四)

    聚合函数:sum,avg,max,min,count 使用方法示例: group by  分组的使用方法 分组的练习: 数学函数:ABS.ceiling.floor.power.round.sqrt. ...

  3. lambda 个人学习理解

    lambda是简化代码量的写用更简单的方法来写匿名方法 lambda左边是参数,右边是代码块(方法执行语句). 整体运算结果是根据左边参数,执行右边语句,返回右边执行的结果: 匿名方法是简化方法 1. ...

  4. WCF服务部署到IIS7.5

    下面介绍如何把WCF服务部署到IIS: 为WCF服务创建.svc文件 我们知道,每一个ASP.NET Web服务都具有一个.asmx文本文件,客户端通过访问.asmx文件实现对相应Web服务的调用.与 ...

  5. SharePoint 2013 隐藏部分Ribbon菜单

    SharePoint的使用中,因为用户经常不愿意看到那些不经常使用的操作,我们经常需要定制Ribbon菜单, 更多时候不是隐藏所有,而是隐藏掉我们不需要的那些:下面,我们一列表为例,简单介绍下如何部分 ...

  6. SharePoint 页面中添加.Net代码

    今天整理资料,看到一个非常有意思的截图,可以在SharePoint页面库里的页面中,添加.Net代码,只需修改一下相应应用程序的web.config文件,即可: 在web.config里面的<P ...

  7. 修改list中附件排序(sharepoint 2010)

    修改文件C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\TEMPLATE\CONTROLTEMPLATE ...

  8. 利用Android多进程机制来分割组件

    android对于内存有一定的限制,很多手机上对内存的限制是完全不同的.我们的应用程序其实就是一个进程,这个进程是完全独立的,这个进程分配的内存是一定的,所以我们经常会遇到OOM的问题.但,你可能不知 ...

  9. Android 5中不同效果的Toast

    一.运行的结果 二.主要的代码 package com.otn.android.toast; import java.util.Timer; import java.util.TimerTask; i ...

  10. JAVA- File类

    File类是IO包中唯一代表磁盘文件本身的对象.File类定义了一些与一台无关的方法来操作文件,可以通过调用File类中的方法,实现创建.修改.删除文件等功能.File类的对象主要用来获取文件本身的一 ...