Мониторинг DLL процесса

@push_nop · Регистрация: 23.09.2015

Студворк — интернет-сервис помощи студентам

подскажите с помощью каких функций можно отследить загрузку сторонних DLL в мой процесс?

Убежденный · 20.04.2016, 14:09

PsSetLoadImageNotifyRoutine
https://msdn.microsoft.com/en-... s.85).aspx

@push_nop · 20.04.2016, 14:49 **[ТС]**

Убежденный PsSetLoadImageNotifyRoutine надо выгружать в DriverUnload? если да, не подскажешь как это сделать?

Убежденный · 20.04.2016, 15:31

Надо.
Для этого существует "обратная" функция, которая снимает регистрацию данного калбэка.
См. внимательнее по ссылке выше, там это все есть.

@push_nop · 20.04.2016, 16:15 **[ТС]**

а возможно каким то образом исключить из списка системные DLL?

Добавлено через 22 минуты
и я так понимаю в этой функции можно только смотреть какие DLL подгружаются, запретить загрузку неугодных тут не получится, верно?

Убежденный · 20.04.2016, 17:24

Сообщение от push_nop

а возможно каким то образом исключить из списка системные DLL?

По файловому пути, например.

Сообщение от push_nop

и я так понимаю в этой функции можно только смотреть какие DLL подгружаются, запретить загрузку неугодных тут не получится, верно?

В данном нотификаторе можно только мониторить загрузку dll и прочих
исполняемых образов, запрещать нельзя, для этого придется использовать
другие средства (фильтры файловой системы, backtrace и т.п.), и это сложно.

@jupman · 27.04.2016, 17:17

push_nop, а может похучить чего-нибудь. Как вариант LdrpCallInitRoutine (та что вызывает TLS-callbacks/DllMain). Её можно найти сигнатурно (сигнатура не менялась от XP до 7, на 8'ке только на два байта отличается, на 8.1 и 10'ке не проверял). Недостаток то что не спасет от dll у которых EnterPoint == NULL, и не спасет от ручной загрузки (маппинг, настройка импорта, релоков etc). Или может лучше пытаться защитится от RWE памяти (перехват NtAllocateVirtualMemory/NtProtectVirtualMemory/NtMapViewOfSection).

Новые блоги и статьи Все статьи Все блоги /
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61

	Мониторинг DLL процесса 20.04.2016, 13:58. Показов 1457. Ответов 6 Метки нет (Все метки) подскажите с помощью каких функций можно отследить загрузку сторонних DLL в мой процесс? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	20.04.2016, 14:09
	PsSetLoadImageNotifyRoutine https://msdn.microsoft.com/en-... s.85).aspx 1

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	20.04.2016, 14:49 [ТС]
	Убежденный PsSetLoadImageNotifyRoutine надо выгружать в DriverUnload? если да, не подскажешь как это сделать? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	20.04.2016, 15:31
	Надо. Для этого существует "обратная" функция, которая снимает регистрацию данного калбэка. См. внимательнее по ссылке выше, там это все есть. 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	20.04.2016, 16:15 [ТС]
	а возможно каким то образом исключить из списка системные DLL? Добавлено через 22 минуты и я так понимаю в этой функции можно только смотреть какие DLL подгружаются, запретить загрузку неугодных тут не получится, верно? 0

@jupman 232 / 135 / 19 Регистрация: 10.11.2015 Сообщений: 305
	27.04.2016, 17:17
	push_nop, а может похучить чего-нибудь. Как вариант LdrpCallInitRoutine (та что вызывает TLS-callbacks/DllMain). Её можно найти сигнатурно (сигнатура не менялась от XP до 7, на 8'ке только на два байта отличается, на 8.1 и 10'ке не проверял). Недостаток то что не спасет от dll у которых EnterPoint == NULL, и не спасет от ручной загрузки (маппинг, настройка импорта, релоков etc). Или может лучше пытаться защитится от RWE памяти (перехват NtAllocateVirtualMemory/NtProtectVirtualMemory/NtMapViewOfSection). 0