1、Windows应用程序编程接口提供的所有函数都包含在DLL中,三个重要DLL:
Kernel32.dll:包含的函数用来管理内存、进程和线程;
User32.dll:包含的函数用来执行与用户界面相关的任务,如创建窗口和发送消息;
GDI32.dll:包含的函数用来绘制图像和显示文字。
2、如果编译器看到一个变量、函数或C++类是用_declspec(dllexport)修饰的,那么她就知道应该在生成的DLL模块中导出该变量、函数或C++类。
3、extern ”C“修饰符用来告诉编译器不要对变量名或函数名进行改编,这样用C、C++或任何编程语言编写的可执行模块都可以访问该变量或函数。
4、为了让线程能够调用DLL模块中的一个函数,我们必须将DLL的文件映像映射到调用线程所在进程的地址空间中,可以通过两种达到该目的:
隐式链接:直接让应用程序的源代码引用DLL中所包含的符号,使得加载程序会在应用程序运行的时候隐式地载入(并链接)所需的DLL;
显示链接:应用程序在运行的过程中,线程调用LoadLibrary(Ex)将DLL载入到进程的地址空间中,并调用GetProcAddress来与想要的输出符号进行链接。
5、FreeLibrary或FreeLibraryAndExitThread:显式地卸载DLL模块
6、每个DLL在进程中有一个与之对应的使用计数,LoadLibrary递增该计数,FreeLibrary递减该计数。如果同一个进程的线程再调用LoadLibrary来载入同一个DLL文件映像时,系统不会再次将DLL的文件映像映射到进程的地址空间中,只会将对应的使用计数递增。
7、GetModuleFileName:获取DLL的全路径,第一个参数为空时,返回应用程序的可执行文件的文件名。
8、DllMain:DLL的入口点函数,用来执行一些与进程或线程有关的初始化和清理工作。
9、进程的主线程将调用每个DLL的DllMain函数,并传入DLL_PROCESS_ATTACH值,如果任何一个DLL的DllMain函数返回FALSE,初始化失败,那么系统会把所有的文件映像从地址空间清除,终止整个进程。显式载入DLL时,调用LoadLibrary的线程会调用DLL的DllMain函数,并传入DLL_PROCESS_ATTACH值,若返回FALSE,则撤销对DLL文件映像的映射,并让LoadLibrary返回NULL。
10、当系统将一个DLL从进程的地址空间中撤销映射,会调用DLL的DllMain函数,并传入DLL_PROCESS_DETACH值。只有当每个DLL都处理完DLL_PROCESS_DETACH通知后,操作系统才会真正的终止进程。
11、当进程创建一个新线程时,系统会检查所有已经被映射到进程的地址空间的DLL,并用DLL_THREAD_ATTACH来调用每个DLL的DllMain函数。新创建的线程负责执行所有DLL的DllMain函数中的代码,执行相关的初始化。
12、系统调用ExitThead终止线程时,系统会让该进程用DLL_THREAD_DETACH来调用所有已映射DLL的DllMain函数。
若调用TerminateProcess终止进程/线程,系统将不会用DLL_PROCESS_DETACH / DLL_THREAD_DETACH来调用DLL的DllMain函数,这意味着已映射到进程地址空间中的任何DLL将没有机会执行任何清理代码,可能导致数据丢失。
13、DllMain函数只应该执行简单的初始化,避免在DllMain中调用LoadLibrary和FreeLibrary,并且不要在DllMain中调用WaitForSingleObject函数。
14、DLL重定向:强制操作系统的加载程序首先从应用程序的目录中载入模块。必须将一个文件放到应用程序的目录中,该文件的文件名必须是xxxxx.local,如SuperApp.exe.local。
15、构建可执行模块时,链接器会将模块的首选基地址设为0x00400000,对于DLL模块,则为0x10000000。
16、线程局部存储区TLS:将数据与一个正在执行的指定线程关联起来。
17、应用程序需要跨越进程边界来访问另一个进程的地址空间的情况:
从另一个进程创建的窗口派生子类窗口;
辅助调试,例如确定另一个进程正在使用哪些DLL;
给另一个进程安装挂钩。
18、用注册表注入DLL:
首先在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows注册表项下,AppInit_Dlls键值会包含一个DLL文件名或一组DLL的文件名(DLL应该放到Windows的系统目录中,这样不必指定路径)。其次必须创建一个名为LoadAppInit_Dlls,类型为DWORD的注册表项,将其值设为1。
缺点:
DLL只会被映射到使用了User32.dll的进程中,所有基于GUI的应用程序都使用了User32.dll;
DLL会被映射到每个基于GUI的应用程序中,应该将DLL映射到尽可能少的进程中;
DLL映射到应用程序中后,在应用程序终止前,它将一直存在于进程的地址空间中,应该只在需要时才注入DLL。
19、使用Windows挂钩注入DLL: