还是LdrloadDll 函数的问题

huangchao209

不知道为什么，对微软这个 未公开 LdrloadDll 函数使用搞不懂
之前弄个Delphi 的HOOK 这个函数搞不定，今天再试用C 写的 调用Ldrloaddll 加载 DLL 也没成功
VC 6编译器
现在请老大帮忙看看什么问题

上代码

1. #include <stdio.h>
   
2. #include <windows.h>
   
3. 
   
4. typedef struct _UNICODE_STRING
   
5. {
   
6.         USHORT Length;
   
7.         USHORT MaximumLength;
   
8.         PWSTR Buffer;
   
9. } UNICODE_STRING , *PUNICODE_STRING;
   
10. 
    
11. typedef ULONG NTSTATUS ;
    
12. 
    
13. typedef struct _LDR_DATA_TABLE_ENTRY
    
14. {
    
15.         LIST_ENTRY InLoadOrderLinks;
    
16.         LIST_ENTRY InMemoryOrderModuleList;
    
17.         LIST_ENTRY InInitializationOrderModuleList;
    
18.         PVOID DllBase;
    
19.         PVOID EntryPoint;
    
20.         ULONG SizeOfImage;
    
21.         UNICODE_STRING FullDllName;
    
22.         UNICODE_STRING BaseDllName;
    
23.         ULONG Flags;
    
24.         USHORT LoadCount;
    
25.         USHORT TlsIndex;
    
26.         union
    
27.         {
    
28.                 LIST_ENTRY HashLinks;
    
29.                 PVOID SectionPointer;
    
30.         };
    
31.         ULONG CheckSum;
    
32.         union
    
33.         {
    
34.                 ULONG TimeDateStamp;
    
35.                 PVOID LoadedImports;
    
36.         };
    
37.         PVOID EntryPointActivationContext;
    
38.         PVOID PatchInformation;
    
39. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
    
40. 
    
41. typedef struct _PEB_LDR_DATA {
    
42.         ULONG                   Length;
    
43.         BOOLEAN                 Initialized;
    
44.         PVOID                   SsHandle;
    
45.         LIST_ENTRY              InLoadOrderModuleList;          //按加载顺序
    
46.         LIST_ENTRY              InMemoryOrderModuleList;        //按内存顺序
    
47.         LIST_ENTRY              InInitializationOrderModuleList;//按初始化顺序
    
48.         PVOID          EntryInProgress;
    
49. } PEB_LDR_DATA, *PPEB_LDR_DATA;
    
50. 
    
51. //每个模块信息的LDR_MODULE部分
    
52. typedef struct _LDR_MODULE {
    
53.         LIST_ENTRY              InLoadOrderModuleList;         
    
54.         LIST_ENTRY              InMemoryOrderModuleList;        
    
55.         LIST_ENTRY              InInitializationOrderModuleList;
    
56.         PVOID                   BaseAddress;
    
57.         PVOID                   EntryPoint;
    
58.         ULONG                   SizeOfImage;
    
59.         UNICODE_STRING          FullDllName;
    
60.         UNICODE_STRING          BaseDllName;
    
61.         ULONG                   Flags;
    
62.         SHORT                   LoadCount;
    
63.         SHORT                   TlsIndex;
    
64.         LIST_ENTRY              HashTableEntry;
    
65.         ULONG                   TimeDateStamp;
    
66. } LDR_MODULE, *PLDR_MODULE;
    
67. 
    
68. VOID HideModule(HMODULE hLibrary)
    
69. {
    
70.         PPEB_LDR_DATA        pLdr = NULL;
    
71.         PLDR_MODULE                FirstModule = NULL;
    
72.         PLDR_MODULE                GurrentModule = NULL;
    
73.         __try
    
74.         {
    
75.                 __asm
    
76.                 {
    
77.                         mov esi, fs:[0x30]
    
78.                         mov esi, [esi + 0x0C]
    
79.                         mov pLdr,esi
    
80.                 }
    
81. 
    
82.                 FirstModule = (PLDR_MODULE)(pLdr->InLoadOrderModuleList.Flink);
    
83.                 GurrentModule = FirstModule;
    
84.                 while(!(GurrentModule ->BaseAddress == hLibrary))
    
85.                 {
    
86.                         GurrentModule = (PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink);
    
87.                         if(GurrentModule == FirstModule)
    
88.                                 break;
    
89.                 }
    
90.                 if(GurrentModule->BaseAddress != hLibrary)
    
91.                         return;
    
92. 
    
93.                 //Dll解除链接
    
94.                 ((PLDR_MODULE)(GurrentModule -> InLoadOrderModuleList.Flink))->InLoadOrderModuleList.Blink = GurrentModule -> InLoadOrderModuleList.Blink;
    
95.                 ((PLDR_MODULE)(GurrentModule->InLoadOrderModuleList.Blink))->InLoadOrderModuleList.Flink = GurrentModule->InLoadOrderModuleList.Flink;
    
96.                
    
97.                 memset(GurrentModule->FullDllName.Buffer, 0, GurrentModule->FullDllName.Length);
    
98.                 memset(GurrentModule, 0, sizeof(PLDR_MODULE));
    
99.         }
    
100. 
     
101.         __except(EXCEPTION_EXECUTE_HANDLER)
     
102.         {
     
103.                 return;
     
104.         }
     
105. }
     
106. 
     
107. //LdrLoadDll function prototype
     
108. typedef NTSTATUS (WINAPI *fLdrLoadDll)(IN PWCHAR PathToFile OPTIONAL,IN ULONG Flags OPTIONAL,IN PUNICODE_STRING ModuleFileName,OUT PHANDLE ModuleHandle);  
     
109. 
     
110. //RtlInitUnicodeString function prototype
     
111. typedef VOID (WINAPI *fRtlInitUnicodeString)(PUNICODE_STRING DestinationString,PCWSTR SourceString);  
     
112. 
     
113. HMODULE                                        hntdll = NULL;  
     
114. fLdrLoadDll                                _LdrLoadDll = NULL;  
     
115. fRtlInitUnicodeString        _RtlInitUnicodeString = NULL;  
     
116. 
     
117. HMODULE LoadDll(LPCSTR lpFileName)
     
118. {  
     
119.     if (hntdll == NULL)
     
120.         {
     
121.                 hntdll = GetModuleHandleA("ntdll.dll");
     
122.                 printf("hntdll Handle %x\n",hntdll);
     
123.         }  
     
124. 
     
125.     if (_LdrLoadDll == NULL)
     
126.         {
     
127.                 _LdrLoadDll = (fLdrLoadDll)GetProcAddress (hntdll,"LdrLoadDll");
     
128.                 printf("_LdrLoadDll Handle %x\n",_LdrLoadDll);
     
129.         }  
     
130. 
     
131.     if (_RtlInitUnicodeString == NULL)  
     
132.     {
     
133.                 _RtlInitUnicodeString = (fRtlInitUnicodeString)GetProcAddress (hntdll,"RtlInitUnicodeString");
     
134.                 printf("_RtlInitUnicodeString Handle %x\n",_RtlInitUnicodeString);
     
135.         }  
     
136.        
     
137.     int StrLen = lstrlenA(lpFileName);  
     
138.     BSTR WideStr = SysAllocStringLen(NULL, StrLen);  
     
139.     MultiByteToWideChar(CP_ACP, 0, lpFileName, StrLen, WideStr, StrLen);  
     
140.        
     
141.     UNICODE_STRING usDllName = { 0 };  
     
142.     _RtlInitUnicodeString(&usDllName, WideStr);  
     
143.     SysFreeString(WideStr);  
     
144.        
     
145.     HANDLE DllHandle = NULL;  
     
146.     _LdrLoadDll(0, 0, &usDllName, &DllHandle);  
     
147.        
     
148.     return (HMODULE)DllHandle;  
     
149. }
     
150. 
     
151. int main()
     
152. {
     
153.         HMODULE hMydll = LoadDll("C:\Users\Administrator\Desktop\DELPHI DEMO\重载NTDLL\Test.dll");
     
154.        
     
155.         printf("hmydll Handle %x\n",hMydll);
     
156.         printf("Test.dll Handle %x\n", GetModuleHandleA("Test.dll"));
     
157.         //HideModule(hMydll);
     
158.         MessageBox(NULL,"Hello",NULL,NULL);
     
159.         return 0;
     
160. }

复制代码

Tesla.Angela

我也不懂。。。有好好的LoadLibrary不用非要用LdrloadDll。。。
这种找虐的事情我是懒的看的。

不过如果你的代码确定没问题，可能是你路径的问题。这种API应该是用NT路径的：\??\c:\xxx.exe

还有，你这么隐藏DLL没用的，内核里还有一份数据。你这么隐藏，在ARK里只能让你的DLL更加显眼。

huangchao209

Tesla.Angela 发表于 2014-12-24 11:09
我也不懂。。。有好好的LoadLibrary不用非要用LdrloadDll。。。
这种找虐的事情我是懒的看的。

受教了，不过，我弄成功了
调用原始 NTDLL 里面 ldrloaddll 可以用
不过不正常调用 重载NTDLL 里面的LdrloadDll 函数
同样的函数 指针 如果调用原始的 ntdll 没问题，调用自己重载的就无法调用

问了下人，人家说重载的dll 不能用 GetProcAddress 获得函数地址,要获得dll的输出表地址才行
不知道是不是

huangchao209

Tesla.Angela 发表于 2014-12-24 11:09
我也不懂。。。有好好的LoadLibrary不用非要用LdrloadDll。。。
这种找虐的事情我是懒的看的。

LoadLiibray 虽然调用简单，但是很多都不用这个函数 来加载DLL 直接用更底层 LdrloadDll 注入

Tesla.Angela

huangchao209 发表于 2014-12-24 15:11
问了下人，人家说重载的dll 不能用 GetProcAddress 获得函数地址,要获得dll的输出表地址才行
不知道是不是

没这一说。还有。如果你真想拦截DLL注入进程，更加靠谱的是在LoadImageNotify里做。

huangchao209

Tesla.Angela 发表于 2014-12-24 15:16
没这一说。还有。如果你真想拦截DLL注入进程，更加靠谱的是在LoadImageNotify里做。 ...

不过，在重载的ntdllL里面，无法正常调用里面的函数，现在搜索不到想要资料，我只知道有这种方法