防止 DLL 文件通过 MS Detours 加载到我的进程中

Question

我想阻止特定的第三方 DLL 文件在运行时加载到我的应用程序的进程中。我最初的尝试是使用 MS Detours 产品。

我有一个在 64 位 Windows 10 上运行的 32 位 MFC 应用程序。我使用免费的 MS Detours 3.0 版本进行了可行性检查。

在我的 MFC 应用程序类构造函数中，我调用 Detours 来拦截“加载库”API（LoadLibraryW、LoadLibraryExW、LoadLibraryA 和 LoadLibraryExA）。这让我可以拦截库加载，目前我只是注销正在加载的库的名称，然后调用原始 API，以便继续加载库。最终的计划是查找特定的第三方 DLL 文件名，在这种情况下只返回失败，阻止 DLL 文件加载。

这类作品。当我运行我的测试应用程序时，将其关闭，然后检查日志，我看到从我的拦截函数中记录了一堆库加载消息。

但是，我的代码永远不会看到我正在寻找的特定第三方 DLL 文件。发生的事情是第三方 DLL 文件在我到达我的应用程序类构造函数时已经加载。所以我来晚了！

我怎样才能获得一些代码来执行 EARLIER 并希望在注入第三方库之前安装 detours 的东西？

Answer 1

听起来像：

• 您的应用是直接静态链接到目标 DLL

• 您的应用程序的依赖 DLL 之一是静态链接到目标 DLL，或者在加载自身时加载它。

• 目标 DLL 列在 AppInit_DLLs 注册表项中。

• 另一个进程已通过 SetWindowsHookEx() 将 DLL 作为全局挂钩加载，使用的挂钩类型将 DLL 注入所有正在运行的进程。

如果目标 DLL 在您的应用程序代码开始运行之前被加载，您无法拦截它。在 EXE 的代码开始运行之前，操作系统会加载静态链接的 DLL。所以只有动态加载的 DLL 才能被 detour 拦截，并且只有在安装后才加载 detour。

您需要找到实际加载目标 DLL 的位置。

如果您的 EXE 直接静态链接到它，请改为动态加载它，或者通过代码中的 LoadLibrary() 显式加载，或者通过链接器的延迟加载功能（如果有的话），它在内部使用 LoadLibrary()。

如果另一个 DLL 正在加载它，请动态加载该 DLL，而不是静态链接到它。

Answer 2

您的代码可能引用了第三方库的某些函数/导出。
您可以尝试的一种方法是使用 /DELAYLOAD 链接器选项为导入的函数创建存根函数。

请参阅https://msdn.microsoft.com/en-us/library/151kt790.aspx 了解说明和要求。

你甚至可以提供一个辅助函数来处理你的 dll 的加载，所以你不需要retour。