Я хочу проделать такое.
Программа, которую я ломаю, при запуске, загружает кучу dll. При чем по заданным параметрам, она сначала ищет эти dll в текущей директории, а потом в системной. Это мне на руку. Я делаю одноименную dll в текущей директории. Когда моя dll загрузится, то в ее Main Module, я изменяю код программы-жертвы, а потом загружаю в программу оригинальную dll из системной директории.
Выгружать мне свою dll нельзя, она еще мне понадобится после.
Получаем в памяти две dll с одним именем. Ну не совсем с одним, система об этом позаботится, при чем моя dll будет иметь имя как у оригинала, а оригинальная dll получает слегка измененое имя.
Так вот, я хочу поменять имена в памяти местами.
Как это можно проделать, чтобы устранить бардак ?
Или не заморачиваться? Хоть имя в памяти у оригинальной dll и изменено, но ее API-функции все равно будут работать?

| Сообщение посчитали полезным:

Информация о загруженных модулях хранится в PEB. Там можно хоть изменить имя, хоть скрыть модуль совсем.
Скорее всего не относится к вопросу: Однако часть информации еще остается в VAD дереве (ядерная структура памяти процесса). Нужно снять маппинг со страницы фейкового модуля.

| Сообщение посчитали полезным: Kuzya69

А я смогу, находясь в модуле, поменять имя этого модуля. Или придется сначала выйти из него?

| Сообщение посчитали полезным:

Kuzya69
берёшь оригинальную дллку, смотришь экспортируемые функи, создаёшь фейковую длл с этими же функами, из которых вызываешь оригинальные. в итоге прога будет вызывать функции из твоей библиотеки, а твоя из оригинальной. получится что-то типа прокси.

| Сообщение посчитали полезным:

EXPORTS
Function1 = RealDLL.Function1

итд

ничего выгружать не придется. Свой код выполнишь с dllmain.

| Сообщение посчитали полезным:

угу. а если их там сотня и все обмангленые?
без крайней необходимости вроде перехвата функций - способ бессмысленно сложный
лодырь с CreateRemoteThread (hProcess, [pLoadLibraryA], "my.dll") - и не нужно мучиться с подменами

| Сообщение посчитали полезным:

Да, перечислять все API-шки неохота.
Да и в некоторых dll их действительно не 10-20.
К тому-же я еще не вычислил dll, загрузка которой будет мне нужна. Т.е. будет сразу после распакованного кода, который буду патчить первым.
Лоадер тоже делать не буду.
Попробую докумекать, как по выходу из загрузки моей dll (которая загрузит оригинальную), подменить ImageBase моей dll, на ImageBase оригинальной dll в регистре eax. Может и прокатит, а нет, то пойду изучать PEB.

| Сообщение посчитали полезным:

Kuzya69 пишет:
Да, перечислять все API-шки неохота.
Да и в некоторых dll их действительно не 10-20.
да хоть 10к. напиши утиль которая это сделает за тебя и выдаст сурс.

| Сообщение посчитали полезным:

SReg пишет:
да хоть 10к. напиши утиль которая это сделает за тебя и выдаст сурс.

Это паршивый способ, ведущий к глюкам - имеется в виду "обёрточная" DLL.
Кроме функций длл'и ещё бывает (и довольно часто) экспортируют указатели на данные.

Срабатывает такое далеко не всегда, способ категорически не универсальный.



| Сообщение посчитали полезным:

Kuzya69 пишет:
А я смогу, находясь в модуле, поменять имя этого модуля. Или придется сначала выйти из него?
Можно прямо из модуля.

Вот пример на скрытие. Имя поменять можно аналогично, но нужно еще одну структуру нагуглить и дописать.
http://www.unknowncheats.me/forum/c-and-c/81519-unlinking-and-relinking-loaded-dlls-peb.html

Если будешь делать скрытие, то учти что работа с ресурсами изнутри скрываемого модуля отвалится.

| Сообщение посчитали полезным:

Господи да какая разница что там и сколько их. Хоть миллион хоть 100500 дата поинтеров. Тебе надо чтобы ее тебе загрузил лоадер винды. Дальше ты сам сказал что собрался патчить ее в списке и грузить оригинал. На ентри поинте вызовешь LdrEnumerateLoadedModules и в ней (она тебе еще и лок на список поставит бесплатно) найдешь свою длл по известной imagebase, выделишь память под новое имя и переинициализируешь UNICODE_STRING модуля.

| Сообщение посчитали полезным:

Kuzya69 пишет:
Попробую докумекать, как по выходу из загрузки моей dll (которая загрузит оригинальную), подменить ImageBase моей dll, на ImageBase оригинальной dll в регистре eax. Может и прокатит, а нет, то пойду изучать PEB.

Ну вроде разобрался, как в структуру LDR_Module для нужной dll попадать. Разобрался как работают двусвязные списки. Как исключать модуль из списков.
Теперь загвоздка вот в чем.
Нету полного описания структуры LDR_Module, поэтому не понятно какие поля в структуре надо подменять?
Хочу сделать так:
1) В структуре LDR_Module для моей dll, изменить значение полей (DllBase, EntryPoint, SizeOfImage, FullDllName, BaseDllName, Flags, LoadCount, TlsIndex, TimeDateStamp, EntryPointActivationContext, PatchInformation) на соответствующие значения полей из структуры LDR_Module для оригинальной dll.
2) Изменить три связанных списка (InLoadOrderLinks, InMemoryOrderLinks, InInitializationOrderLinks), так, чтобы структура LDR_Module для оригинальной dll стала скрытой, и не "виделась" в этих списках.

Но появился вопрос. Достаточно-ли этих действий?
Меня смущают поля HashLinks, ForwarderLinks, ServiceTagLinks, StaticLinks. Их надо тоже пересчитывать?
Просто заметил, что в этих полях не для всех dll "сидят адекватные значения"

Ах да, забыл добавить, те действия, что я хочу сделать, я буду выполнять в блоке Main моей dll.

| Сообщение посчитали полезным:

Вот кое-какие полезные функции по работе с этими структурами, но не новее Windows 7. Делал давно, так что не знаю, что из этого еще работает
Но лучше все же по чистому выгрузить свою DLL, а потом выделить память по ее предыдущему адресу и скопировать туда предварительно сохраненную с того адреса копию. Тогда меньше будет проблем с разными версиями Windows.

b2bd_23.07.2016_EXELAB.rU.tgz - ModuleTricks.7z

| Сообщение посчитали полезным:

Vicshann пишет:
Вот кое-какие полезные функции
Чего-то мой 7zip, с ошибками распаковывает. Можешь переархивировать например в rar или zip ?

| Сообщение посчитали полезным:

Вот, специально для тех, кто не обновлял архиватор несколько лет

b733_23.07.2016_EXELAB.rU.tgz - ModuleTricks.zip

| Сообщение посчитали полезным:

Vicshann пишет:
кто не обновлял архиватор несколько лет
Спасибо, но уже догадался. Обновил.

| Сообщение посчитали полезным: