我想这样做,因为我需要将我的dll注入smss.exe或csrss。我已经删除了 Win32 DLL 示例 src 中的所有代码,但它没用;当我把我的dll放到PEtools上时,我已经在导入表中找到了kernel32.dll和msvcXXXX.dll。
我尝试在谷歌上搜索"本机dll"或"无导入表dll",但我找不到任何关于它的内容。
#include "stdafx.h"
#include "Dr.h"
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
CreateThread(NULL, 9999, &Foo, NULL, 0, NULL);
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
可以通过
静态链接 CRT dll 中删除依赖项(/MT命令行开关(。
至于 ntdll.dll 和 kernel32.dll,您可以使用 /NODEFAULTLIB 命令行开关来避免任何隐式依赖,但请记住,如果您没有明确链接至少 ntdll.dll那么您无能为力 - CRT 将不起作用(即使静态链接它仍然取决于核心 Win32 dll(,您将无法使用任何 Win32 或 NT API(例如使用CreateThread, 你需要内核32.dll,它又取决于NTDLL.dll;对于NT本机API等效项 - NtCreateThread - 您只需要NTDLL.dll(。
在不链接任何.dll的情况下,您唯一能做的就是进行"普通"计算(不使用任何其他库或系统函数(,或使用int 0x2e/sysenter汇编指令(在 32 位上(或syscall(在 64 位上(执行"原始"内核调用 - 这本质上是重新实现 ntdll.dll 所做的。
如果你
与/NoDefaultLib链接,你所要求的是可能的,但它不能解决你的问题,因为SMSS和CSRSS不使用Win32子系统;它们使用本机NT子系统。如果要将 DLL 放在 SMS 等本机程序中,则需要创建本机 NT DLL。
也就是说,弄乱CSRSS和SMSS是一个坏主意,但我假设你已经知道了......