[求助]dll显式加载与隐式加载的区别?-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 2 楼一块关注楼主的问题!尤其是监控进程对dll的加载 2008-4-8 21:31 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼 LdrpRunInitializeRoutines函数是ntdll.dll中的一个未导出的函数。楼主所说的文章中有一句话：“LdrpRunInitializeRoutines是调用EXE或DLL的指定入口点代码之前的最后一站。” 当EXE或DLL被载入时，其入口点函数就是在这里CALL进去的。 OllyICE中，由jingulong修改的Loaddll.exe及其loaddll.dll插件的原理，见http://bbs.pediy.com/showthread.php?threadid=16140，正是通过对LdrpRunInitializeRoutines函数进行inline hook，从而实现在dll加载时中断在dll的入口。 2008-4-9 02:46 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 4 楼再请问一下: 隐式加载的dll会不会调用LoadLibrary? 刚刚又找到一个blog http://www.cppblog.com/zerolee/archive/2007/05/20/24430.html 里面有一句话:"需要说明的是，隐式链接方式访问DLL时，在程序启动时也是通过LoadLibrary函数加载该进程需要的动态链接库的。 " 不知道这句话对不对?有什么依据呢? 2008-4-12 08:34 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 5 楼顶顶吧菜鸟没人理 2008-4-19 19:53 0
UD]Arthas 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	UD]Arthas 1 6 楼首先说明我说的是用户级的显式和隐式DLL加载最明显的加载：最就是在程序的导入表中直接就有你要加载的DLL，就是我们通常做的哪样隐藏一点加载：在程序中用LoadLibrary函数来加载要用的DLL再用GetProcAddress来得到想要的函数地址再隐藏一点的加载：通过系统创建进程时在程序中放置的返回Kernel32.Dll的地址，按页边界来寻找Kernel32.Dll库，再从它的导出表中得到LoadLibrary和GetProcAddress函数，然后来得到想要的Dll和函数，这个方法可以不用任何函数来得到Kernel32.dll，其它的DLL还是要用LoadLibrary来得到的。再再隐藏一点的加载：不知道了，呵呵，编程大牛们好像可以自己写一个LoadLibrary 的加载函数的，不过再怎么变，到了系统底层你还是一样要用里面的函数的。 2008-4-19 23:39 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 7 楼也就是说用户级下:隐式不用LoadLibrary, 显式用LoadLibrary 但是到了内核级,无论隐式还是显式,都会调用某些相同的函数,比如 LdrpRunInitializeRoutines 对吧? 2008-4-20 12:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 2 楼一块关注楼主的问题!尤其是监控进程对dll的加载 2008-4-8 21:31 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼 LdrpRunInitializeRoutines函数是ntdll.dll中的一个未导出的函数。楼主所说的文章中有一句话：“LdrpRunInitializeRoutines是调用EXE或DLL的指定入口点代码之前的最后一站。” 当EXE或DLL被载入时，其入口点函数就是在这里CALL进去的。 OllyICE中，由jingulong修改的Loaddll.exe及其loaddll.dll插件的原理，见http://bbs.pediy.com/showthread.php?threadid=16140，正是通过对LdrpRunInitializeRoutines函数进行inline hook，从而实现在dll加载时中断在dll的入口。 2008-4-9 02:46 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 4 楼再请问一下: 隐式加载的dll会不会调用LoadLibrary? 刚刚又找到一个blog http://www.cppblog.com/zerolee/archive/2007/05/20/24430.html 里面有一句话:"需要说明的是，隐式链接方式访问DLL时，在程序启动时也是通过LoadLibrary函数加载该进程需要的动态链接库的。 " 不知道这句话对不对?有什么依据呢? 2008-4-12 08:34 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 5 楼顶顶吧菜鸟没人理 2008-4-19 19:53 0
UD]Arthas 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	UD]Arthas 1 6 楼首先说明我说的是用户级的显式和隐式DLL加载最明显的加载：最就是在程序的导入表中直接就有你要加载的DLL，就是我们通常做的哪样隐藏一点加载：在程序中用LoadLibrary函数来加载要用的DLL再用GetProcAddress来得到想要的函数地址再隐藏一点的加载：通过系统创建进程时在程序中放置的返回Kernel32.Dll的地址，按页边界来寻找Kernel32.Dll库，再从它的导出表中得到LoadLibrary和GetProcAddress函数，然后来得到想要的Dll和函数，这个方法可以不用任何函数来得到Kernel32.dll，其它的DLL还是要用LoadLibrary来得到的。再再隐藏一点的加载：不知道了，呵呵，编程大牛们好像可以自己写一个LoadLibrary 的加载函数的，不过再怎么变，到了系统底层你还是一样要用里面的函数的。 2008-4-19 23:39 0
lollipop 雪币： 6419 活跃值： (612) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	lollipop 7 楼也就是说用户级下:隐式不用LoadLibrary, 显式用LoadLibrary 但是到了内核级,无论隐式还是显式,都会调用某些相同的函数,比如 LdrpRunInitializeRoutines 对吧? 2008-4-20 12:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]dll显式加载与隐式加载的区别? 0.00雪花