Egtraのページ | スラド

Egtraのコメント: Re:どうすりゃいいのよ (スコア 1) 60

by Egtra 2017年05月19日 7時53分 (#3213297) ネタ元: 「UNLHA32.DLL」が7年ぶりにアップデート

>Known DLLsのDLLがそうでないDLLを読み込むこと
えー？なんで？
ふつうにwindows apiを使ってたらkernelやuserやgdiの関数を呼んでるもんだと思ってたら、全然違う場所から呼んでるってこと？

UNLHA32.DLLの例のページの記述によれば、kernel32.dllは別のDLL（本当はSystem32に存在する想定）に対するインポートを有しているということだと考えています。

＃普段遣いのコンパイラはBorlandなのだが……
＃一応VC++もコンパイル確認だけはしているが。
＃あとmingw-JPとかlcc-win32とかWatcom C/C++とか…。

そうなると起動用EXEと主たる処理のDLLに分割するのが比較的簡単ではないでしょうか。DLLでは、通常通りインポートできます。EXEのほうで対処してそのDLLを読み込む（SetDefaultDllDirectoriesまたはLoadLibraryExでLOAD_LIBRARY_SEARCH_SYSTEM32を指定するなど）という方法が可能です。このDLLに分ける処理、自己解凍書庫でこれを実装するのは一層大変そうですが。

Egtraのコメント: Re:どうすりゃいいのよ (スコア 1) 60

by Egtra 2017年05月17日 22時32分 (#3212535) ネタ元: 「UNLHA32.DLL」が7年ぶりにアップデート

kernel32.dllそのものは、Known DLLsに登録されているので大丈夫です（user32.dllやgdi32.dllもです）。システム以外のディレクトリから同名のDLLが読み込まれることはありません。問題は、そこに書かれているように、Known DLLsのDLLがそうでないDLLを読み込むことなのです。

使うAPIの全てを遅延ロードってとんでもなく面倒くさい。

それこそVisual C++の遅延読み込みを使えば良いと思います。ソースコードの変更は不要なので、そこまで面倒ではないでしょう。そして、次のいずれかを実施すれば良いだろうかと思います（どなたか間違っていたら教えてください）。

プロセス起動後すぐにSetDefaultDllDirectriesを呼び出す。
通知フックのdliNotePreLoadLibraryを使い、自分でDLLを読み込む（適切な実引数を指定してLoadLiraryExを実行する）
Windows 8以降であれば、プロセス起動後すぐにSetProcessMitigationPolicyでProcessImageLoadPolicyのPreferSystem32Imagesフラグを指定する。

ただ、いずれの方法でも、そのURLの記事に書かれているWindows 7でのSSPICLI.DLLやWindows VistaのAPPHELP.DLLの場合まで対処するものではありませんので、その対策が別途必要です。

その他 SSPICLI.DLLとかBCRYPT.DLLとか聞いたことのないようなDLL名が上がっているが，具体的にどうやったのか。どうやるべきなのか。

これはProcess Monitorか何かで、実際に読み込まれるDLLを確認していったのではないかと思います。もちろん、各バージョンのWindowsごとに。ただ、そのURLの記事に書かれているIMEやウイルス対策ソフトなどが勝手にDLLを読み込んでくる問題を見落としがちという問題がありますが、どうしようもありません。