Мониторинг DLL процесса

@push_nop · Регистрация: 23.09.2015

Студворк — интернет-сервис помощи студентам

подскажите с помощью каких функций можно отследить загрузку сторонних DLL в мой процесс?

Убежденный · 20.04.2016, 14:09

PsSetLoadImageNotifyRoutine
https://msdn.microsoft.com/en-... s.85).aspx

@push_nop · 20.04.2016, 14:49 **[ТС]**

Убежденный PsSetLoadImageNotifyRoutine надо выгружать в DriverUnload? если да, не подскажешь как это сделать?

Убежденный · 20.04.2016, 15:31

Надо.
Для этого существует "обратная" функция, которая снимает регистрацию данного калбэка.
См. внимательнее по ссылке выше, там это все есть.

@push_nop · 20.04.2016, 16:15 **[ТС]**

а возможно каким то образом исключить из списка системные DLL?

Добавлено через 22 минуты
и я так понимаю в этой функции можно только смотреть какие DLL подгружаются, запретить загрузку неугодных тут не получится, верно?

Убежденный · 20.04.2016, 17:24

Сообщение от push_nop

а возможно каким то образом исключить из списка системные DLL?

По файловому пути, например.

Сообщение от push_nop

и я так понимаю в этой функции можно только смотреть какие DLL подгружаются, запретить загрузку неугодных тут не получится, верно?

В данном нотификаторе можно только мониторить загрузку dll и прочих
исполняемых образов, запрещать нельзя, для этого придется использовать
другие средства (фильтры файловой системы, backtrace и т.п.), и это сложно.

@jupman · 27.04.2016, 17:17

push_nop, а может похучить чего-нибудь. Как вариант LdrpCallInitRoutine (та что вызывает TLS-callbacks/DllMain). Её можно найти сигнатурно (сигнатура не менялась от XP до 7, на 8'ке только на два байта отличается, на 8.1 и 10'ке не проверял). Недостаток то что не спасет от dll у которых EnterPoint == NULL, и не спасет от ручной загрузки (маппинг, настройка импорта, релоков etc). Или может лучше пытаться защитится от RWE памяти (перехват NtAllocateVirtualMemory/NtProtectVirtualMemory/NtMapViewOfSection).

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61

	Мониторинг DLL процесса 20.04.2016, 13:58. Показов 1461. Ответов 6 Метки нет (Все метки) подскажите с помощью каких функций можно отследить загрузку сторонних DLL в мой процесс? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	20.04.2016, 14:09
	PsSetLoadImageNotifyRoutine https://msdn.microsoft.com/en-... s.85).aspx 1

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	20.04.2016, 14:49 [ТС]
	Убежденный PsSetLoadImageNotifyRoutine надо выгружать в DriverUnload? если да, не подскажешь как это сделать? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	20.04.2016, 15:31
	Надо. Для этого существует "обратная" функция, которая снимает регистрацию данного калбэка. См. внимательнее по ссылке выше, там это все есть. 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	20.04.2016, 16:15 [ТС]
	а возможно каким то образом исключить из списка системные DLL? Добавлено через 22 минуты и я так понимаю в этой функции можно только смотреть какие DLL подгружаются, запретить загрузку неугодных тут не получится, верно? 0

@jupman 232 / 135 / 19 Регистрация: 10.11.2015 Сообщений: 305
	27.04.2016, 17:17
	push_nop, а может похучить чего-нибудь. Как вариант LdrpCallInitRoutine (та что вызывает TLS-callbacks/DllMain). Её можно найти сигнатурно (сигнатура не менялась от XP до 7, на 8'ке только на два байта отличается, на 8.1 и 10'ке не проверял). Недостаток то что не спасет от dll у которых EnterPoint == NULL, и не спасет от ручной загрузки (маппинг, настройка импорта, релоков etc). Или может лучше пытаться защитится от RWE памяти (перехват NtAllocateVirtualMemory/NtProtectVirtualMemory/NtMapViewOfSection). 0

Опции темы