[Windows编程] 监视DLL装载/卸载

简介:
Windows 驱动开发库里面提供了函数 LdrRegisterDllNotification , LdrUnregisterDllNotification , 可以让你监视进程装载/卸载DLL 的事件。 当你想在某个DLL被加载的时候Hook它的函数; 或者当你想在某个DLL推出之前做一些保存清理工作; 或者当你想阻止某个DLL 被加载(比如外挂) .... 这个机制正可以派上用场 。
以下是代码示例如何使用 LdrRegisterDllNotification , LdrUnregisterDllNotification 监听DLL装载/卸载。
 view plaincopy to clipboardprint?
#include <Ntsecapi.h> // DDK   
typedef const UNICODE_STRING* PCUNICODE_STRING;   
  
typedef struct _LDR_DLL_LOADED_NOTIFICATION_DATA {   
    ULONG Flags;                    //Reserved.   
    PCUNICODE_STRING FullDllName;   //The full path name of the DLL module.   
    PCUNICODE_STRING BaseDllName;   //The base file name of the DLL module.   
    PVOID DllBase;                  //A pointer to the base address for the DLL in memory.   
    ULONG SizeOfImage;              //The size of the DLL image, in bytes.   
} LDR_DLL_LOADED_NOTIFICATION_DATA, *PLDR_DLL_LOADED_NOTIFICATION_DATA;   
  
typedef struct _LDR_DLL_UNLOADED_NOTIFICATION_DATA {   
    ULONG Flags;                    //Reserved.   
    PCUNICODE_STRING FullDllName;   //The full path name of the DLL module.   
    PCUNICODE_STRING BaseDllName;   //The base file name of the DLL module.   
    PVOID DllBase;                  //A pointer to the base address for the DLL in memory.   
    ULONG SizeOfImage;              //The size of the DLL image, in bytes.   
} LDR_DLL_UNLOADED_NOTIFICATION_DATA, *PLDR_DLL_UNLOADED_NOTIFICATION_DATA;   
  
typedef union _LDR_DLL_NOTIFICATION_DATA {   
    LDR_DLL_LOADED_NOTIFICATION_DATA Loaded;   
    LDR_DLL_UNLOADED_NOTIFICATION_DATA Unloaded;   
} LDR_DLL_NOTIFICATION_DATA, *PLDR_DLL_NOTIFICATION_DATA;   
  
typedef const PLDR_DLL_NOTIFICATION_DATA PCLDR_DLL_NOTIFICATION_DATA;   
  
typedef VOID (NTAPI *PLDR_DLL_NOTIFICATION_FUNCTION)(ULONG NotificationReason, PCLDR_DLL_NOTIFICATION_DATA NotificationData, PVOID Context);   
typedef NTSTATUS (NTAPI *pfnLdrRegisterDllNotification)(ULONG Flags, PLDR_DLL_NOTIFICATION_FUNCTION NotificationFunction, void* Context, void **Cookie);   
typedef NTSTATUS (NTAPI *pfnLdrUnregisterDllNotification)(void *Cookie);   
  
#define LDR_DLL_NOTIFICATION_REASON_LOADED 1    
#define LDR_DLL_NOTIFICATION_REASON_UNLOADED 2   
  
VOID NTAPI MyLdrDllNotification(   
  ULONG NotificationReason,   
  PCLDR_DLL_NOTIFICATION_DATA NotificationData,   
  PVOID Context   
)   
{   
    switch (NotificationReason)   
    {   
    case LDR_DLL_NOTIFICATION_REASON_LOADED:   
        printf ("Dll Loaded: %S\n", NotificationData->Loaded.FullDllName->Buffer);   
        break;   
    case LDR_DLL_NOTIFICATION_REASON_UNLOADED:   
        printf ("Dll Unloaded: %S\n", NotificationData->Unloaded.FullDllName->Buffer);   
        break;   
    }   
}   
  
int _tmain(int argc, _TCHAR* argv[])   
{   
  
    HMODULE hModule = GetModuleHandleW(L"NTDLL.DLL");   
            
         // 取得函数指针   
    pfnLdrRegisterDllNotification pLdrRegisterDllNotification = (pfnLdrRegisterDllNotification)GetProcAddress(hModule, "LdrRegisterDllNotification");   
    pfnLdrUnregisterDllNotification pLdrUnregisterDllNotification = (pfnLdrUnregisterDllNotification)GetProcAddress(hModule, "LdrUnregisterDllNotification");   
    void *pvCookie = NULL;   
  
         // 初始化   
    pLdrRegisterDllNotification(0, MyLdrDllNotification, NULL, &pvCookie);   
       
    // 测试DLL 装载   
    HMODULE hLoad = ::LoadLibraryW(L"mshtml.dll");   
    Sleep(1000);   
         // 测试 DLL 卸载   
    ::FreeLibrary(hLoad);   
  
         // 清除   
    if (pvCookie)   
    {   
        pLdrUnregisterDllNotification(pvCookie);   
        pvCookie = NULL;   
    }   
  
    return 0;   
}  
#include <Ntsecapi.h> // DDK
typedef const UNICODE_STRING* PCUNICODE_STRING;
typedef struct _LDR_DLL_LOADED_NOTIFICATION_DATA {
    ULONG Flags;                    //Reserved.
    PCUNICODE_STRING FullDllName;   //The full path name of the DLL module.
    PCUNICODE_STRING BaseDllName;   //The base file name of the DLL module.
    PVOID DllBase;                  //A pointer to the base address for the DLL in memory.
    ULONG SizeOfImage;              //The size of the DLL image, in bytes.
} LDR_DLL_LOADED_NOTIFICATION_DATA, *PLDR_DLL_LOADED_NOTIFICATION_DATA;
typedef struct _LDR_DLL_UNLOADED_NOTIFICATION_DATA {
    ULONG Flags;                    //Reserved.
    PCUNICODE_STRING FullDllName;   //The full path name of the DLL module.
    PCUNICODE_STRING BaseDllName;   //The base file name of the DLL module.
    PVOID DllBase;                  //A pointer to the base address for the DLL in memory.
    ULONG SizeOfImage;              //The size of the DLL image, in bytes.
} LDR_DLL_UNLOADED_NOTIFICATION_DATA, *PLDR_DLL_UNLOADED_NOTIFICATION_DATA;
typedef union _LDR_DLL_NOTIFICATION_DATA {
    LDR_DLL_LOADED_NOTIFICATION_DATA Loaded;
    LDR_DLL_UNLOADED_NOTIFICATION_DATA Unloaded;
} LDR_DLL_NOTIFICATION_DATA, *PLDR_DLL_NOTIFICATION_DATA;
typedef const PLDR_DLL_NOTIFICATION_DATA PCLDR_DLL_NOTIFICATION_DATA;
typedef VOID (NTAPI *PLDR_DLL_NOTIFICATION_FUNCTION)(ULONG NotificationReason, PCLDR_DLL_NOTIFICATION_DATA NotificationData, PVOID Context);
typedef NTSTATUS (NTAPI *pfnLdrRegisterDllNotification)(ULONG Flags, PLDR_DLL_NOTIFICATION_FUNCTION NotificationFunction, void* Context, void **Cookie);
typedef NTSTATUS (NTAPI *pfnLdrUnregisterDllNotification)(void *Cookie);
#define LDR_DLL_NOTIFICATION_REASON_LOADED 1 
#define LDR_DLL_NOTIFICATION_REASON_UNLOADED 2
VOID NTAPI MyLdrDllNotification(
  ULONG NotificationReason,
  PCLDR_DLL_NOTIFICATION_DATA NotificationData,
  PVOID Context
)
{
 switch (NotificationReason)
 {
 case LDR_DLL_NOTIFICATION_REASON_LOADED:
  printf ("Dll Loaded: %S\n", NotificationData->Loaded.FullDllName->Buffer);
  break;
 case LDR_DLL_NOTIFICATION_REASON_UNLOADED:
  printf ("Dll Unloaded: %S\n", NotificationData->Unloaded.FullDllName->Buffer);
  break;
 }
}
int _tmain(int argc, _TCHAR* argv[])
{
 HMODULE hModule = GetModuleHandleW(L"NTDLL.DLL");
         
         // 取得函数指针
 pfnLdrRegisterDllNotification pLdrRegisterDllNotification = (pfnLdrRegisterDllNotification)GetProcAddress(hModule, "LdrRegisterDllNotification");
 pfnLdrUnregisterDllNotification pLdrUnregisterDllNotification = (pfnLdrUnregisterDllNotification)GetProcAddress(hModule, "LdrUnregisterDllNotification");
 void *pvCookie = NULL;
         // 初始化
 pLdrRegisterDllNotification(0, MyLdrDllNotification, NULL, &pvCookie);
 
 // 测试DLL 装载
 HMODULE hLoad = ::LoadLibraryW(L"mshtml.dll");
 Sleep(1000);
         // 测试 DLL 卸载
 ::FreeLibrary(hLoad);
         // 清除
 if (pvCookie)
 {
  pLdrUnregisterDllNotification(pvCookie);
  pvCookie = NULL;
 }
 return 0;
}
 
运行程序, 输出如下。可以证实以上代码监听了 mshtml.dll 的装载和卸载。 而且系统自动装载的其他DLL也被监视到。
Dll Loaded: C:\Windows\system32\mshtml.dll
Dll Loaded: C:\Windows\system32\msls31.dll
Dll Loaded: C:\Windows\system32\VERSION.dll
Dll Unloaded: C:\Windows\system32\mshtml.dll
Dll Unloaded: C:\Windows\system32\VERSION.dll
Dll Unloaded: C:\Windows\system32\msls31.dll

 
 本文转自 陈本峰 51CTO博客,原文链接:http://blog.51cto.com/wingeek/274017,如需转载请自行联系原作者


相关文章
|
2月前
|
Ubuntu
qml加载开机白屏易死机的解决方案
本文讨论了在QML开发中遇到的加载白屏和死机问题,并提供了解决方案。文章给出了QML在开发板上启动时白屏问题的解决方法,以及在加载网络图片时可能导致的卡死问题,并分享了相关的参考链接和最佳实践代码示例。
|
4月前
|
安全 数据处理 C++
LabVIEW调用外部DLL(动态链接库)
LabVIEW调用外部DLL(动态链接库)
25 0
|
网络协议 安全 API
驱动开发:内核远程线程实现DLL注入
在笔者上一篇文章`《内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
4943 0
|
开发框架 .NET Java
C#下反射动态加载dll后如何卸载?
C#下反射动态加载dll后如何卸载?
WinCE系统启动时自动运行应用程序之二
Windows CE 4.2平台下创建工程SMDK2440(目录为C:/WINCE420/PUBLIC/SMDK2440)且Build(或者Rebuild)成功;假定需要自动运行的的应用程序为CEDEMO.exe
C#.Net 如何动态加载与卸载程序集(.dll或者.exe)6-----在不卸载程序域的前提下替换程序集文件。
原文:C#.Net 如何动态加载与卸载程序集(.dll或者.exe)6-----在不卸载程序域的前提下替换程序集文件。 当某个程序集文件被载入AppDomain,该文件在AppDomain.Unload之前是不能被替换和删除的。
2390 0
|
C# C++
C#中动态加载和卸载DLL
原文:C#中动态加载和卸载DLL 在C++中加载和卸载DLL是一件很容易的事,LoadLibrary和FreeLibrary让你能够轻易的在程序中加载DLL,然后在任何地方卸载。在C#中我们也能使用Assembly.LoadFile实现动态加载DLL,但是当你试图卸载时,你会很惊讶的发现Assembly没有提供任何卸载的方法。
2289 0