Добрый день! Мне требуется узнать адрес загрузки - сторонней библиотеки "Nwindow.dll" которая загружается в 1 приложение, проблема в том что то место откуда я внедряю свой код(точнее библиотека "Ogg.dll")) загружается намного раньше чем NWindow.dll, и по этому всякий раз когда я выполняю GetModuleHandle - подобным образом -
получаю ноль - 126(не найдено) , так же пробовал сделать через LoadLibrary, но таким образом нарушалась цепочка вызова и программа попросту не запускалась, еще пробовал сделать while loop, т.е псевдо способ дождаться загрузки модуля.

но в результате программа попросту зависала, как правильно следует дождаться загрузки модуля через код, либо может есть другой способ ?
Пытаюсь решить эту проблему уже несколько дней - но не как не выходит, подскажите пжлста !

| Сообщение посчитали полезным:

sleep()

| Сообщение посчитали полезным:

https://msdn.microsoft.com/en-us/library/dd347461(v=vs.85).aspx

| Сообщение посчитали полезным:

Kaimi пишет:
https:/
-
[This function may be changed or removed from Windows without further notice.]

| Сообщение посчитали полезным:

ну например так: LdrLoadDll

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Если вызывать sleep() в DllMain - то она и будет зависать.
Это ж очевидно - DLL не закончила инициализацию и другие библиотеки не загружаются.

| Сообщение посчитали полезным:

Kaimi пишет:
https://msdn.microsoft.com/en-us/library/dd347461(v=vs.85).aspx

А примерный код можно взглянуть(в упрошенной форме)
То что тут нашел https://github.com/strobejb/sslhook/blob/master/sslhook/modnotify.cpp немного замудрено для разных целей.
Hellspawn пишет:
ну например так: LdrLoadDll

Так если я загружу библиотеку раньше чем это требуется, это разве не вызовет проблем ?

| Сообщение посчитали полезным:

ты можешь перехватить функцию и следить за загрузкой модулей.
либо ждать загрузки в отдельном потоке, гоняя цикл с GetModuleHandle.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
либо ждать загрузки в отдельном потоке, гоняя цикл с GetModuleHandle.
Можно чуточку по подробнее про это и про LdrRegisterDllNotification ?
Я просто раньше не сталкивался с подобным - но эта древняя библиотека 2006 -года, генерирует адреса динамически(и самих функций и адрес загрузки), от запуска к запуску они разные.

| Сообщение посчитали полезным:

Господа, а нельзя ли загрузить модуль NWindow.dll без запуска DllMain (а также опционально загрузки зависимостей, вызовов TLS), чтобы хендл был уже валидный, а попозже модуль загрузится полноценно в обычном порядке родной программой?
Вроде в LoadLibraryExW есть интересные флажки, но я туда сам не лез.

| Сообщение посчитали полезным:

kunix пишет:
Господа, а нельзя ли загрузить модуль NWindow.dll без запуска DllMain

Потом, при реальной загрузке, уже будет другой адрес.

bolvai пишет:
Я просто раньше не сталкивался с подобным - но эта древняя библиотека 2006 -года, генерирует адреса динамически(и самих функций и адрес загрузки), от запуска к запуску они разные.


При чём тут древность?
На какой системе запускаете это всё?



| Сообщение посчитали полезным:

dosprog пишет:
Потом, при реальной загрузке, уже будет другой адрес.
Ну это смотря какой механизм применить. Если сначала As Data File - то при реальной загрузке будет другой адрес.
А если как-то еще?

| Сообщение посчитали полезным:

kunix пишет:
А если как-то еще?

На Vista+ говнюки ввели механизм ASLR - специально, чтобы воспрепятствовать подобным экспериментам.
- Специально, гады, рандомизируют адреса загрузки модулей.
(если модули имеют таблицу перемещений)



| Сообщение посчитали полезным:

bolvai пишет:
А примерный код можно взглянуть(в упрошенной форме)
То что тут нашел https://github.com/strobejb/sslhook/blob/master/sslhook/modnotify.cpp немного замудрено для разных целей.
Да по ссылке вроде все просто.
Вот еще какой-то пример
http://www.programmershare.com/3522318/
или вот
http://stackoverflow.com/questions/4242469/detect-when-a-module-dll-is-unloaded

| Сообщение посчитали полезным:

dosprog пишет:
На Vista+ говнюки ввели механизм ASLR - специально, чтобы воспрепятствовать подобным экспериментам.
- Специально, гады, рандомизируют адреса загрузки модулей.
(если модули имеют таблицу перемещений)

Вы меня слишком примитивно поняли, я не предлагаю загружать и потом выгружать, а потом опять загружать.

Я предлагаю загрузить частично, через LoadLibraryEx (,,DONT_RESOLVE_DLL_REFERENCES)
или LoadLibraryEx (,, LOAD_LIBRARY_AS_IMAGE_RESOURCE).

Скорее всего не выйдет, так как, например, LoadLibraryEx (,,LOAD_LIBRARY_AS_DATAFILE) с последующим LoadLibrary() загрузит image два раза и вернет два разных хендла.

| Сообщение посчитали полезным:

dosprog пишет:
На какой системе запускаете это всё?
под Win8.1 приложение x86 (игра), есть более новые версии этой самой игры и та же самая библиотека имеет статичные адреса, которые генерирует IDA, и их можно напрямую инжектить, а с этой версией такое не срабатывает.
Kaimi пишет:
http://www.programmershare.com/3522318/
или вот
http://stackoverflow.com/questions/4242469/detect-when-a-module-dll-is-unloaded
Сейчас попробую

| Сообщение посчитали полезным:

bolvai пишет:
под Win8.1 приложение x86 (игра),

Пробуйте под WinXP. А то начинаются какие-то непонятные описания с "генерированием библиотекой динамических адресов"...



| Сообщение посчитали полезным:

dosprog пишет:
генерированием библиотекой динамических адресов"...
Это я забыл вам упоминать - основную причину того - почему мне требуется адрес загрузки, в этом приложении(игре) адресное пространство функций генерируется от запуска к запуску с разными значением, было к примеру 9330000, а потом стало 9320000, по этому те функции что мне сгенирировала IDA имеют не совсем верный адрес уже в памяти, т.е была функци по адресу sub_1008F870(В иде),а в итоге она будет в памяти по адресу (sub_1008F870-ImageBase)+Тот самый адрес загрузки - который как раз не постоянный.

В общем посмотрел я на применение и это слишком муторно, много доп кода ради простого ожидания, кто то говорил про внедрение дополнительно потока и цикла внутри него - как это будет выглядеть в коде - может кто пример скинуть пжлста ?

| Сообщение посчитали полезным:

bolvai пишет:
дресное пространство функций генерируется от запуска к запуску с разными значением
Почитал бы уже про и примеры погуглил, уже даже сказали.
https://ru.wikipedia.org/wiki/ASLR
Кстати вариант с ожиданием в потоке, как сказал Hellspawn, кажется тут самым простым.
bolvai пишет:
по этому те функции что мне сгенирировала IDA имеют не совсем верный адрес уже в памяти
Не генерирует она ничего, они идут от базы (ImageBase) все так же, ты описываешь тот же ASLR, хотя могу ошибаться, но скорее всего все именно так, отключить да проверить.
bolvai пишет:
есть более новые версии этой самой игры и та же самая библиотека имеет статичные адреса
Измени тогда хидер либы, отключи ASLR

| Сообщение посчитали полезным: