请教如何对一个dll中的函数在 dll入口点执行完毕前进行hook-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
yeyeshun 雪币： 205 活跃值： (2599) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 394 粉丝 13 关注私信	yeyeshun 2 2024-2-16 18:19 2 楼 0 To answer the original question, what you can do is to hook LdrpCallInitRoutine in . This function is used by DLL loading/unloading code to actually call the DLL entry point () and also the TLS callbacks. The first argument is the address to be called:ntdll.dllDllMain BOOLEAN NTAPI LdrpCallInitRoutine(PDLL_INIT_ROUTINE EntryPoint, PVOID BaseAddress, ULONG Reason, PVOID Context);
coolspace 雪币： 117 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 141 粉丝 7 关注私信	coolspace 2024-2-16 21:12 3 楼 0 yeyeshun To answer the original question, what you can do is to hook LdrpCallInitRoutine in . This function i ... LdrpCallInitRoutine是个未导出函数，不同win版本里面这个函数的所在位置都不固定，没啥好的获取函数地址的方法啊
麻木的时间雪币： 13 活跃值： (3256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 61 粉丝 16 关注私信	麻木的时间 2024-2-17 01:14 4 楼 0 第一点注入你的dll 第二点模块加载回调中把目标模块的入口点hook到你的模块去
yeyeshun 雪币： 205 活跃值： (2599) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 394 粉丝 13 关注私信	yeyeshun 2 2024-2-17 15:41 5 楼 0 或者注入你的dll，在dllmain中进行stack walk，找到LdrpCallInitRoutine再进行hook。要确保你的dll比目标dll先加载
wuxiwudi 雪币： 920 活跃值： (1560) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 174 粉丝 5 关注私信	wuxiwudi 2024-2-18 13:26 6 楼 0 劫持掉这个dll，然后内存加载他
coolspace 雪币： 117 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 141 粉丝 7 关注私信	coolspace 2024-2-21 17:42 7 楼 0 后来用了个高版本windows才支持的api LdrRegisterDllNotification解决了。能够在dll load后及时挂上。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复