DLLインジェクションをしたいが、WOW64に阻まれる
Posted: 2012年9月19日(水) 16:19
久しぶりDLLインジェクションをしようとおもったのですが、
DLLのロードがsysWOW64内のuser32.dllから始まるため、
それ以降の呼び出しはすべてsysWOW64内のDLLを使うせいで
自作のDLLを挿入する隙がありませんでした。
置換する目標であるSHELL32.DLLまでの呼び出しは以下のとおりでした。
(dependencywalkerにて確認)
USER32.DLL
ADVAPI32.DLL
WINTRUST.DLL
CRYPT32.DLL
USERENV.DLL
SHELL32.DLL
おそらく、OSがアプリケーションが32bit版であることを察知してsysWOW64フォルダにあるDLL群をロードさせることが
原因だと思うのですが、それを回避して自作DLL(SHELL32.dll)を本物の代わりに読み込ませることができるでしょうか?
読み込ませたいアプリケーションと、偽DLL(SHELL32.dll)まで必要な上記DLLを同じフォルダに入れて実行してみたところ
sysWOW64内のUSER32.DLLが呼び出されたためか、以降のDLLがsysWOW64由来のものになり
自作DLLの挿入がうまくいきませんでした。
さすがに、"C:\Windows\SysWOW64\SHELL32.DLL"を偽DLLで上書きするのは影響が大きすぎるので避けたいと思います。
DLLのロードがsysWOW64内のuser32.dllから始まるため、
それ以降の呼び出しはすべてsysWOW64内のDLLを使うせいで
自作のDLLを挿入する隙がありませんでした。
置換する目標であるSHELL32.DLLまでの呼び出しは以下のとおりでした。
(dependencywalkerにて確認)
USER32.DLL
ADVAPI32.DLL
WINTRUST.DLL
CRYPT32.DLL
USERENV.DLL
SHELL32.DLL
おそらく、OSがアプリケーションが32bit版であることを察知してsysWOW64フォルダにあるDLL群をロードさせることが
原因だと思うのですが、それを回避して自作DLL(SHELL32.dll)を本物の代わりに読み込ませることができるでしょうか?
読み込ませたいアプリケーションと、偽DLL(SHELL32.dll)まで必要な上記DLLを同じフォルダに入れて実行してみたところ
sysWOW64内のUSER32.DLLが呼び出されたためか、以降のDLLがsysWOW64由来のものになり
自作DLLの挿入がうまくいきませんでした。
さすがに、"C:\Windows\SysWOW64\SHELL32.DLL"を偽DLLで上書きするのは影響が大きすぎるので避けたいと思います。