:1.393KB : :1 :2022-03-13 21:25:06
在系统初始化DllMain的时候(本质上是走到LdrpWalkImportDescriptor的时候),它会检查LdrpManifestProberRoutine是否有效,然后调用LdrpManifestProberRoutine,对此部分的预原注释是: Probe the DLL for its manifest. Some details are omitted(探测 DLL 的清单。 省略了一些细节)
LdrSetDllManifestProber是直接将LdrpManifestProberRoutine替换为我们的子程序,当调用LdrpWalkImportDescriptor时,便会触发回调。
LdrpManifestProberRoutine原来的代码比较复杂(它原来的地址是BasepProbeForDllManifest),实际上这个命令原来的操作是调用RtlCreateActivationContext来Create the activation context。我测试了一下,没有成功复现BasepProbeForDllManifest,现在的例子可能会造成程序不稳定,就这样了吧!
08-15对ntdll中的一些函数
07-25一个程序居然可以加载3个ntdll
02-08对ntdll中的一些函数的整理
02-08ntdll一些杂项函数
11-10NTDLL系列两种枚举模块方法
10-04调用微软ntdll提供的快速排序算法