关于Windows应用程序加载DLL的总结

0x00 背景

最近在开发项目上遇到一个奇怪的问题,项目使用到OPENSSL库,进行加密,某个DLL(A.DLL)对该库进行封装后调用。EXE对A.DLL采用动态链接的方式进行加载,调动里面的函数之后,使用FreeLibrary释放DLL。
结果竟然没有卸载掉该DLL。这就突破了我的认知了,我的见识里面所了解到的加载DLL方式包括两种:

  1. 隐式链接:程序运行时DLL被加载进来,等待程序结束之后,卸载加载的DLL。
  2. 动态链接:程序使用LoadLibaray(Ex)等函数加载DLL,到不需要时主要使用FreeLibrary卸载DLL。

关于以上两点的详细介绍,请参见其他文章。

0x01 调查

程序使用了如下所示的伪代码:

int main()
{
    HMODULE h = LoadLibraryA("DLLName");
    if (h != NULL)
    {
        Function func = reinterpret_cast<Function>(
                GetProcAddress(h, "FunctionName")
            );
        if (func != NULL)
        {
            func();
        }

        FreeLibrary();
    }
    return 0;
}

经过单步注释代码的方式(很傻),发现只有在调用DLL里面的函数的时候,问题才会发生。那么只要把焦点放在DLL的这个函数上就好了。
可是结果没有这么简单,这个DLL也是OPENSSL的一个包装而已,并没有实际的代码。可是眼下并没有OPENSSL的源码,只能是调试调查了。

在调试之前,要想好目标才行,想着DLL是有引用计数的,那看看,在加载的时候,引用计数是多少。
使用windbg的!dlls命令查看DLL的引用计数、在LoadLibrary之后,看到此时DLL的引用计数是1,然而在
调用过DLL里面的函数之后此时DLL的引用计数变成了0x0000ffff了!

那么这个0x0000ffff代表着什么呢?经过查找资料,发现它是代表着DLL被隐式链接的。这就奇怪了,明明是动态加载的,怎么变成隐式链接了呢?

接下来的目标是查看这个引用计数是什么时候被改变的,经过查找资料找到了,如下的结构

struct _LDR_MODULE
{
    LIST_ENTRY InLoadOrderModuleList;
    LIST_ENTRY InMemoryOrderModuleList;
    LIST_ENTRY InInitializationOrderModuleList;
    PVOID BaseAddress;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;  <------看这里
    USHORT TlsIndex;
    LIST_ENTRY HashTableEntry;
    ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

有了这个信息,结合Windbg自身手册里面提供的一个脚本内容:

$$ Get module list LIST_ENTRY in $t0.
r? $t0 = &@$peb->Ldr->InLoadOrderModuleList
 
$$ Iterate over all modules in list.
.for (r? $t1 = *(ntdll!_LDR_DATA_TABLE_ENTRY**)@$t0;
 (@$t1 != 0) & (@$t1 != @$t0);
      r? $t1 = (ntdll!_LDR_DATA_TABLE_ENTRY*)@$t1->InLoadOrderLinks.Flink)
{
    $$ Get base address in $Base.
 as /x ${/v:$Base} @@c++(@$t1->DllBase)
 
 $$ Get full name into $Mod.
 as /msu ${/v:$Mod} @@c++(&@$t1->FullDllName)
 
 .block
    {
        .echo ${$Mod} at ${$Base}
    }
 
    ad ${/v:$Base}
    ad ${/v:$Mod}
}

其实上面的LDR_MODULE就是_LDR_DATA_TABLE_ENTRY,那就好办了,找到相应的DLL对应的结构地址,
使用ba w1下断点,运行之后,看到了调用栈里面出现了GetModuleHandleEx函数,它的第一个
参数是5,是如下两个值得组合(或)

  • GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS (0x00000004)
  • GET_MODULE_HANDLE_EX_FLAG_PIN (0x00000001)

其中MSDN对GET_MODULE_HANDLE_EX_FLAG_PIN的解释是:
The module stays loaded until the process is terminated, no matter how many times FreeLibrary is called.

至此,一切真相大白了!
不过倒是没搞懂,为什么这个版本的OPENSSL这么做,之前的代码并没有找到这样的处理。

0x02 附录

https://docs.microsoft.com/en-us/windows/win32/api/libloaderapi/nf-libloaderapi-getmodulehandleexw
https://securityxploded.com/dllrefcount.php
https://stackoverflow.com/questions/3553231/how-to-check-dlls-reference-count-how-to-know-where-the-dll-was-loaded

<think>好的,我现在需要分析用户提供的这段JavaScript代码,并解释它的功能。首先,我会通读代码,理解每个部分的作用。 这段代码定义了一个名为getQ的函数。函数一开始获取了user_nickname输入框的值,存储在userid变量中。如果userid是null或undefined,函数返回false。否则,发起一个AJAX POST请求到../services/Qxgl.ashx,传递action和id参数。请求头里有一个Authorization令牌,看起来像是某种认证信息。 成功回调函数处理返回的msg数据,遍历msg.ds数组,对每个item,通过typeid设置对应的复选框为选中状态。然后收集所有选中的复选框的值,用逗号拼接后去掉最后一个逗号,将结果填入typename输入框。 接下来,我需要确认各个部分的细节是否正确。例如,检查jQuery选择器是否正确,AJAX调用的参数是否合理,以及数据处理是否有潜在错误。比如,$.each遍历msg.ds是否正确,假设msg.ds是一个数组。另外,拼接结果时使用substring去除末尾逗号是否可靠,是否有更稳妥的方法。 还要注意可能的安全问题,比如硬编码的Authorization头,这可能存在安全风险,但用户可能已经处理了。此外,用户权限验证是否在服务端进行,这里只是前端控制,需提醒用户不能仅依赖前端验证。 最后,将这些分析整理成结构清晰的解释,分步骤说明代码的功能和潜在注意事项,确保用户能够理解每个部分的作用及可能的改进点。</think>这是一个典型的基于jQuery的AJAX请求实现,主要用于获取并设置用户权限信息。让我们分步骤解析这个函数的功能: 1. **函数定义与用户ID获取** ```javascript var getQ = function () { var userid = $('#user_nickname').val(); // 获取用户输入框的值 ``` 2. **空值校验** ```javascript if (userid == null || userid == undefined) { // 验证用户ID有效性 return false; } ``` 3. **AJAX请求配置** ```javascript $.ajax({ type: "POST", // 使用POST方法 url: "../services/Qxgl.ashx", // 后端接口地址 headers: { // 请求头认证信息 "Authorization": "0772A4AA051DDEBB393DC164B19A32E57C4FEEAB27A77820" }, ``` 4. **请求参数传递** ```javascript data: { action: "getQ", // 执行动作类型 id: userid // 传递用户ID参数 }, ``` 5. **成功回调处理** ```javascript success: function (msg) { // 遍历返回数据集 $.each(msg.ds, function (index, item) { // 根据typeid勾选对应复选框 $('#a' + item.typeid).attr("checked", true); }) // 拼接选中值 var result = ""; $("input[name='select_checkbox']:checked").each(function () { result += $(this).val() + ','; }); // 去除末尾逗号 if (result != "") { result = result.substring(0, result.lastIndexOf(',')); } // 填充到显示框 $("#typename").val(result); } ``` **功能总结**: - 这是一个用户权限查询功能 - 通过用户输入的用户名查询关联的权限配置 - 将查询结果转换为复选框勾选状态 - 汇总选中权限显示在文本框中 **潜在注意事项**: 1. 硬编码的`Authorization`头存在安全风险,建议动态生成 2. 缺少错误处理逻辑(error回调) 3. 使用字符串拼接处理结果可以考虑改用`Array.join()` 4. 权限控制不能仅依赖前端验证,必须配套后端验证 5. 对`msg.ds`的数据结构有强依赖,建议增加数据校验 6. 建议使用`.prop()`代替`.attr()`操作复选框状态
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值