Остановить выполнение модуля в процессе

[Exfazo]

Всем привет, нужно похукать функции у dll на точке входа. То есть когда софт запускается, он загружает dll, которая сразу же начинает выполнятся, поэтому я не знаю как успевать хукать функции у dll

 

[DildoFagins]

Всем привет, нужно похукать функции у dll на точке входа. То есть когда софт запускается, он загружает dll, которая сразу же начинает выполнятся, поэтому я не знаю как успевать хукать функции у dll

DLL-хайджекинг этой библиотеки сделать. Запускать процесс в suspended режиме, хукать LdrLoadLibrary.

 

[Exfazo]

DLL-хайджекинг этой библиотеки сделать

так это подмена dll, а без подмены можно?

 

[Exfazo]

Запускать процесс в suspended режиме, хукать LdrLoadLibrary.

То есть ты предлагаешь хукнуть функцию LoadLibrary, когда попадет нужная dll в хуканную функцию, далее поставить процесс на паузу, поставить хуки в dll, а потом возобновить работу процесса. Я так понял?

 

[DildoFagins]

так это подмена dll, а без подмены можно?

Зависит от того, что за библиотека, часто хватает подброса длл в папку с исполняемым файлом процесса.

То есть ты предлагаешь хукнуть функцию LoadLibrary, когда попадет нужная dll в хуканную функцию, далее поставить процесс на паузу, поставить хуки в dll, а потом возобновить работу процесса. Я так понял?

Саспендить потоки не обязательно, загрузчик находится в блокировке критической секции пока работает оригинальная LdrLoadDll. То есть обычно пока ты не вернешь управление из хука LdrLoadDll по идее никто не сможет вызвать никакую экспортную функцию. Проблема может быть, только если в дллмейн библиотека стартует какие-то новые потоки, тут уже нужно будет подумать.