Найти сборку из натива

Сейчас на форуме: jinoweb (+4 невидимых)

Посл.ответ	Сообщение
r_e Ранг: 590.6 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 01 марта 2020 14:43 · Личное сообщение · #1 Если вдруг кто не знает то GetModuleHandle и прочие не видят managed сборки потому что те не грузятся через LoadLibrary. Есть ли метода чтобы получить базу сборки в памяти по имени? ----- старый пень

difexacaw Ранг: 338.5 (мудрец), 349thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 марта 2020 14:53 · Личное сообщение · #2 r_e Что такое сборка" ? ----- vx
galenkane Ранг: 28.5 (посетитель), 8thx Активность: 0.07↗0.15 Статус: Участник	Создано: 01 марта 2020 15:05 · Личное сообщение · #3 difexacaw очевидно семпл Добавлено спустя 3 минуты а база сборки это адрес семпла в памяти
difexacaw Ранг: 338.5 (мудрец), 349thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 марта 2020 15:15 · Личное сообщение · #4 galenkane Не понятно, что такое "имя сборки в памяти" ? С памятью может быть связан файл, это если файловая проекция. Что бы его имя получить есть два способа. MemoryMappedFilenameInformation/GetMappedFileName() или отобразить файловую секцию и найти соответствие NtAreMappedFilesTheSame/LdrGetDllHandleByMapping(). ----- vx
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 марта 2020 15:25 · Поправил: ClockMan · Личное сообщение · #5 r_e пишет: Если вдруг кто не знает то GetModuleHandle и прочие не видят managed сборки потому что те не грузятся через LoadLibrary. если сборка грузилась в ручнуя минуя LoadLibrary то её и не будет в таблице загруженных модулей))) r_e пишет: Есть ли метода чтобы получить базу сборки в памяти по имени? если у сборки есть таблица экспорта, то скан памяти + поиск имени в таблице экспорта ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
r_e Ранг: 590.6 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 01 марта 2020 16:04 · Личное сообщение · #6 Сборка - это managed assembly module. Скан памяти - не вариант. Во-первых, для нагруженных участков кода слишком тормозной (впрочем, может кеширование и поможет). Во-вторых, маппинг по имени потребует отдельных танцев с бубном для сопоставления образа в памяти с образом на диске. Судя по интернетам, то официальный способ будет через натив рефлекшн добраться до этой информации. Добавлено спустя 11 минут Попутно, может кто пробовал. Можно ли подгрузить сборку через LoadLibrary и будет ли она при этом "закеширована" в том смысле что последующий резолв вернет уже отмапленную, а не загрузит по новой? ----- старый пень
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 01 марта 2020 23:33 · Личное сообщение · #7 Эту тему уже жевали тут или на тутсях лет 5 назад. Проще самому её загрузить в память по известным координатам. Ищи где-то был загрузчик тут... или гдето не помню. Поиск по : загрузка dll в память без loadlibrary
difexacaw Ранг: 338.5 (мудрец), 349thx Активность: 2.11↗2.42 Статус: Участник	Создано: 02 марта 2020 00:35 · Личное сообщение · #8 r_e > танцев с бубном для сопоставления образа в памяти с образом на диске. Что то на подобие этого, модуль есть в загрузчике, но его нет и небыло на диске ? ca11_02.03.2020_EXELAB.rU.tgz - ld.7z ----- vx
UniSoft Ранг: 52.0 (постоянный), 146thx Активность: 0.03↗0.08 Статус: Участник	Создано: 02 марта 2020 01:50 · Поправил: UniSoft · Личное сообщение · #9 r_e пишет: Есть ли метода чтобы получить базу сборки в памяти по имени? Как мне кажется: смысла в такой функции мало. После ~~загрузки~~ вернее после выполнения DllMain, весь managed код пережевывается в нативный и выплевывается совсем в другую память, никак не связанную с базой сборки. Я как-то делал прокси dll, патчил сборку в памяти процесса. ставил хук на _CorValidateImage() (точнее, сначала хук ставил на LoadLibraryW(), где ожидал загрузку "mscoree.dll" и тут же ставился хук на "_CorValidateImage") А дальше было все просто. _CorValidateImage вызывается еще до _CorDllMain, так что можно свободно патчить managed код (он еще не пережеван). Code: HRESULT STDAPICALLTYPE DetourCorValidateImage(PVOID ImageBase, LPCWSTR FileName) { HRESULT hr = fpCorValidateImage(ImageBase, FileName); // вызов оригинальной функции if (hr >= 0 && FileName) // STATUS_SUCCESS { LPWSTR pname = ExtractFileName(FileName); if (lstrcmpiW(pname, L"КакаяТоДлл.dll") == 0) { //MessageBoxF(L"[_CorValidateImage] %s...", FileName); PatchDll(ImageBase); } } return hr; } LPWSTR WINAPI ExtractFileName(LPCWSTR lpFullPathFileName) { if (lpFullPathFileName) { LPCWSTR psz = lpFullPathFileName; while (psz) if (psz++ == '\\') lpFullPathFileName = psz; } return (LPWSTR)lpFullPathFileName; } \| Сообщение посчитали полезным: Medsft, r_e, Veliant, v00doo
r_e Ранг: 590.6 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 02 марта 2020 10:45 · Личное сообщение · #10 UniSoft пишет: после выполнения DllMain, весь managed код пережевывается в нативный Там, вроде как, compile-on-call для каждого метода, а не сразу вся сборка предкомпилится. ----- старый пень
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 02 марта 2020 17:28 · Личное сообщение · #11 r_e пишет: Там, вроде как, compile-on-call щас подтянется dife ) и все нам расскажет по этому поводу, он тестил

Для печати