[转载]WINDOWS 2K Dll 加载过程

bini

来自:[url]http://www.whitecell.org/forums/viewthread.php?tid=34[/url]

8 g4 R- P" }/ C2 RWINDOWS 2K Dll 加载过程
! ^* U; X) ?1 x4 |6 q) rjefong by 2005/03/30
2 E7 Z# b  p  J/ Q4 X这片文章是我在阅读完MSJ September 1999 Under the Hood后的总结。
2 ]& R1 x0 a( ^3 N在windows中exe可执行程序运行时都会调用一些DLL，例如KERNEL32.DLL和USER32.DLL等系统的dll。但是dll是怎么被加载的呢？通常，大家都知道在编写dll时会有一个DLLMain的入口函数，但是实际上这个函数并不是调用dll时最先的工作。首先dll需要被加载，然后要进行初始化分配，再之后才进入DLLMain。还有可能你的一个dll中还会调用另一各dll。那么dll到底是怎样加载和初始化的呢，我们来参考一下Platform SDK中的“Dynamic-Link Library Entry-Point Function”。
8 y8 w& @0 z6 B: j# }你的函数正在执行一个初始化任务，例如设置TLS，创建同步对象或打开一个文件。那么你在函数中一定不要调用LoadLibrary函数，因为dll加载命令会创建一个依赖循环。这点会导致在系统执行dll的初始化代码前就已经调用了dll的函数。例如，你不能在入口函数中调用FreeLibrary函数，因为这样会使系统在已经结束了dll后还调用dll中的操作，引起严重错误。
初始化任务时调用Win32函数也会引起错误，例如调用User，Shell和COM函数可能会引起存储无效的错误，因为dll中一些函数会调用LoadLibrary来加载别的系统组件。
  当你在你的DllMain函数中读一个注册表键值，这样做会被限制，因为在正常情况下ADVAPI32.DLL在你执行DllMain代码时还没被初始化，所以你调用的读注册表的函数会失败。
  在文档中初始化部分使用LoadLibrary函数是严格限制的，但是存在特殊的情况，在WindowsNT中USER32.DLL是忽略上面的限制的。这样一来好像与上面所说的相背了，在USER32.DLL的初始化部分出现了调用LoadLibrary加载dll的部分，但是没有出现问题。这是因为AppInit_Dlls的原因，AppInit_Dlls可以为任一个进程调用一个dll列表。所以，如果你的USER32.dll调用出现问题，那一定是AppInit_Dlls没有工作。
  接下来，我们来看看dll的加载和初始化是怎样完成的。操作系统有一个加载器，加载一个模块通常有两个步骤：1.把exe或dll映象到内存中，这时，加载器会检查模块的导入地址表(IAT)，看模块是否依赖于附加的dll。如果dll还没有被加载到进程中，那么加载器就把dll映象到内存。直到所有的未加载的模块都被映象到内存。2.初始化所有的dll。在windows NT中，系统调用exe和dll入口函数的程序会先调用LdrpRunInitializeRoutines函数，也就是说当你调用LoadLibrary时会调用LdrpRunInitializeRoutines，当调用LdrpRunInitializeRoutines时会首先检查已经映射到内存的dll是否已经被初始化。我们来看下面的代码（Matt的LdrpRunInitializeRoutines伪代码）：
//=============================================================================
// Matt Pietrek, September 1999 Microsoft Systems Journal
8 C! g, H1 ]6 E) M// 中文注释部分为jefong翻译
6 n( }1 K, Q* f2 i2 r7 a) {//
// Pseudocode for LdrpRunInitializeRoutines in NTDLL.DLL (NT 4, SP3)
. G- N* O3 L; o/ o//
// 当LdrpRunInitializeRoutines 在一个进程中第一次被调用时（这个进程的隐式链接模块已经被初始化），bImplicitLoad 参数是非零。当使用LoadLibrary调用dll时，bImplicitLoad 参数是零；
//=============================================================================
( }% i9 V: q8 m( i' t' _) y3 B
: _' p6 @5 \8 f#include <ntexapi.h>    // For HardError defines near the end

// Global symbols (name is accurate, and comes from NTDLL.DBG)
//  _NtdllBaseTag
3 K  Q/ b/ f$ D% n9 H/ l' c//  _ShowSnaps
//  _SaveSp
//  _CurSp
2 \; k4 O/ J, e) s//  _LdrpInLdrInit
9 h; |8 ?, u$ C//  _LdrpFatalHardErrorCount
//  _LdrpImageHasTls
9 ~  u5 b% z) d1 Q
NTSTATUS
LdrpRunInitializeRoutines( DWORD bImplicitLoad )
{
    // 第一部分，得到可能需要初始化的模块的数目。一些模块可能已经被初始化过了
& K5 ]2 J  Z8 e$ x7 \5 o    unsigned nRoutinesToRun = _LdrpClearLoadInProgress();
4 z- F- H0 g3 t. S$ I" Y2 E, O
    if ( nRoutinesToRun )
    {
        // 如果有需要初始化的模块，为它们分配一个队列，用来装载各模块信息。
        pInitNodeArray = _RtlAllocateHeap(GetProcessHeap(),
                                            _NtdllBaseTag + 0x60000,
                                            nRoutinesToRun * 4 );
2 W( v: ~# O/ n, j                           
1 P, g2 K# Q. R/ u6 z        if ( 0 == pInitNodeArray )    // Make sure allocation worked
            return STATUS_NO_MEMORY;
$ L/ T, @  ]+ j9 e' \9 \! ~1 k    }
0 _! ]) e1 M$ q. s$ K    else
) j/ m" s; D0 a* ?9 j% z        pInitNodeArray = 0;

    //第二部分；
6 E: P! q8 D3 U/ k    //进程环境块（Peb），包含一个指向新加载模块的链接列表的指针。
. v+ v$ D- l- j2 `. y9 s    pCurrNode = *(pCurrentPeb->ModuleLoaderInfoHead);
    ModuleLoaderInfoHead = pCurrentPeb->ModuleLoaderInfoHead;
9 \$ O' ^3 c3 q+ B8 p! D$ I  o5 x        
    if ( _ShowSnaps )
    {
        _DbgPrint( "LDR: Real INIT LIST\n" );
    }
3 S9 L" R" k, [/ O: {
9 S: J: [; _- m. ]/ p( l, W; Q    nModulesInitedSoFar = 0;

    if ( pCurrNode != ModuleLoaderInfoHead ) //判断是否有新加载的模块
/ Q+ L' M+ ~! I0 R) Y    {
        
        while ( pCurrNode != ModuleLoaderInfoHead ) //遍历所有新加载的模块
" l4 `1 \% n( D, w        {
! @( W& k/ `, Z- l3 y% {9 B5 v            ModuleLoaderInfo  pModuleLoaderInfo;
  }" a5 ^& ~0 r; y            
2 |% A: v' |/ \! P2 G0 D' A" s            //
0 p: n3 n9 W6 i  j            //一个ModuleLoaderInfo结构节点的大小为0X10字节
            pModuleLoaderInfo = &NextNode - 0x10;
            
; Y" B& X/ R( \/ @2 G# W! E            localVar3C = pModuleLoaderInfo;         

/ G  P4 S$ \2 n5 L/ I            //
            // 如果模块已经被初始化，就忽略
9 `1 \1 P$ I) X% n4 M! a6 x, n  Y            // X_LOADER_SAW_MODULE = 0x40 已被初始化
            if ( !(pModuleLoaderInfo->Flags35 & X_LOADER_SAW_MODULE) )
* k  H! h, F6 O2 G5 Y, T2 Z            {
$ Y' X; T0 R& Q' U& Z0 M/ {# P                //
, z2 r) f; ^- u                // 模块没有被初始化，判断是否具有入口函数
                //
4 F# e7 `# l0 u, k" ^# N8 p                if ( pModuleLoaderInfo->EntryPoint )
                {
                    //
3 H0 d$ v' s0 U- h+ P" \                    // 具有初始化函数，添加到模块列表中，等待进行初始化
                    pInitNodeArray[nModulesInitedSoFar] =pModuleLoaderInfo;

                    // 如果ShowSnaps为非零，那么打印出模块的路径和入口函数的地址
' \! r% V" X! P! V, Q      // 例如：
                    // C:\WINNT\system32\KERNEL32.dll init routine 77f01000
                    if ( _ShowSnaps )
, ?  q  {) ~/ b: _. ^5 z3 B                    {
. P) y2 g; q: k7 m! Q8 P, g                        _DbgPrint(  "%wZ init routine %x\n",
                                    &pModuleLoaderInfo->24,
                                    pModuleLoaderInfo->EntryPoint );
                    }

7 ]6 i# z" c  X# S( E" s                    nModulesInitedSoFar++;
4 G! h* u. c, x: `# d! T5 \+ H, _                }
9 Y6 s9 i% ~; W1 O) T) k            }

            // 设置模块的X_LOADER_SAW_MODULE标志。说明这个模块还没有被初始化。
+ g& I3 o; C0 [+ n# @            pModuleLoaderInfo->Flags35 &= X_LOADER_SAW_MODULE;

            // 处理下一个模块节点
( B, u1 C3 [; i* n/ z            pCurrNode = pCurrNode->pNext
        }
) M( [2 P1 @( t! O/ I& N    }
    else
2 y) C* }/ q- `1 [2 {    {
7 f' N3 ?* ?: e- T( g+ t        pModuleLoaderInfo = localVar3C;     // May not be initialized???
, O3 k. O3 G) p  \& }; }/ K" V    }
   
! p3 L) M% J) R* a3 ~: i    if ( 0 == pInitNodeArray )
2 B7 b/ l2 L4 r( [0 @2 R7 L        return STATUS_SUCCESS;
$ ^* l  {# q- ~
" {4 f- f& V  ^' }( P    // ************************* MSJ Layout! *****************
/ z' F" Q% {3 z# [- t    // If you're going to split this code across pages, this is a great
    // spot to split the code.  Just be sure to remove this comment
    // ************************* MSJ Layout! *****************
   
9 `/ g* O8 c- I& ^    //
    // pInitNodeArray指针包含一个模块指针队列，这些模块还没有 DLL_PROCESS_ATTACH
& u0 I8 Y, j, t! r    // 第三部分，调用初始化部分
    try     // Wrap all this in a try block, in case the init routine faults
    {
        nModulesInitedSoFar = 0;  // Start at array element 0
; g5 X6 B' t6 L! u, }
! C% R3 c5 e2 A# U        //
: E+ t6 u9 H$ ?4 E5 @  p7 s0 f        // 遍历模块队列
        //
2 d( T; a7 M! C% `, }        while ( nModulesInitedSoFar < nRoutinesToRun )
6 \: W- q" N/ w2 c; e; Z+ H$ }  J        {
: H2 J% n+ x; O+ m            // 获得模块指针
5 x2 i" l/ E$ C5 u1 W  ?            pModuleLoaderInfo = pInitNodeArray[ nModulesInitedSoFar ];

+ {& T8 K4 k4 O' q& b( u            // This doesn't seem to do anything...
            localVar3C = pModuleLoaderInfo;
+ s, r" A( T4 e- N! F( l0 T8 Z            
  k) s) }' N: K5 }" C) e            nModulesInitedSoFar++;
               
7 h4 q+ f+ z2 g; S4 ^# n1 D  b            // 保存初始化程序入口指针
            pfnInitRoutine = pModuleLoaderInfo->EntryPoint;
            
            fBreakOnDllLoad = 0;    // Default is to not break on load

" _# F; N* S6 J8 `! ?            // 调试用
            // If this process is a debuggee, check to see if the loader
. e; q0 A% V! i6 C            // should break into a debugger before calling the initialization.
            //
3 ]. R+ C( W: w* l/ U( H! L0 i            // DebuggerPresent (offset 2 in PEB) is what IsDebuggerPresent()
            // returns. IsDebuggerPresent is an NT only API.
            //
            if ( pCurrentPeb->DebuggerPresent || pCurrentPeb->1 )
            {
& e1 C8 l! h' L0 F* s* L! C3 a' j' p                LONG retCode;

                //              
& Z, U5 L/ s5 M$ O                // Query the "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
                // Windows NT\CurrentVersion\Image File Execution Options"
                // registry key.  If a a subkey entry with the name of
9 u  p, K! U- f                // the executable exists, check for the BreakOnDllLoad value.
                //
3 Q" v" t0 V# s) c2 M; k4 A: ?: z+ t                retCode =
                    _LdrQueryImageFileExecutionOptions(
/ X6 ~1 P- M- p. p                                pModuleLoaderInfo->pwszDllName,
+ E) i2 k2 L' _  U                                "BreakOnDllLoad",pInitNodeArray
                                REG_DWORD,
4 Y6 t- _/ ^. O4 E# E                                &fBreakOnDllLoad,
                                sizeof(DWORD),
# P! E" g: h2 U1 g3 l                                0 );
3 q6 Z8 k; `. ^+ g% Q! ?; f
( ?$ E: m1 g0 _                // If reg value not found (usually the case), then don't
                // break on this DLL init
! K& c0 Q$ Q2 l9 k- c( O                if ( retCode <= STATUS_SUCCESS )
                    fBreakOnDllLoad = 0;pInitNodeArray
4 H! Z6 ]$ j/ e$ T            }
            
            if ( fBreakOnDllLoad )
! f: }5 F9 _' [' `# b6 r) Y7 d            {           
                if ( _ShowSnaps )
                {
                    // Inform the debug output stream of the module name
                    // and the init routine address before actually breaking
1 j1 _" |. s4 d4 @1 h* l                    // into the debugger

+ K. [( D! W4 f" |                    _DbgPrint(  "LDR: %wZ loaded.",
                                &pModuleLoaderInfo->pModuleLoaderInfo );
                    
! i+ c9 g" P) H& j                    _DbgPrint(  "- About to call init routine at %lx\n",
4 [* r/ p# s  A6 [! L                                pfnInitRoutine )
/ v9 n3 l. {; ^6 W) x                }
               
                // Break into the debugger                              
                _DbgBreakPoint();   // An INT 3, followed by a RET
            }
            else if ( _ShowSnaps && pfnInitRoutine )
            {
                // Inform the debug output stream of the module name
3 `0 N" F/ @' t) z& t" ?                // and the init routine address before calling it               
: I' L% N- I; G. }! D                _DbgPrint(  "LDR: %wZ loaded.",
                            pModuleLoaderInfo->pModuleLoaderInfo );

                _DbgPrint("- Calling init routine at %lx\n", pfnInitRoutine);
/ o" J7 v0 h  m& u# j& R) y7 Z            }
* Y6 z; N& k9 J- e                    
            if ( pfnInitRoutine )
  x' b; ?: k; K4 T. X            {
0 L. P9 w/ _  {% m) \4 }& Y2 g                // 设置DLL_PROCESS_ATTACH标志
0 k- [) p  B2 ^  _6 Z( K$ [3 }7 R                //
# W( C% W$ I& W  p8 [- B4 Z                // (Shouldn't this come *after* the actual call?)
2 W2 E0 g" ~4 m: Q                //
, n) S: Y% N- u* }8 `5 G                // X_LOADER_CALLED_PROCESS_ATTACH = 0x8            
                pModuleLoaderInfo->Flags36 |= X_LOADER_CALLED_PROCESS_ATTACH;

% k  g7 [" W( ~; z& N: P. ]                //
                // If there's Thread Local Storage (TLS) for this module,
1 n) _* f/ \; {$ x* e$ H- o& H, a' i                // call the TLS init functions.  *** NOTE *** This only
) G! c: Q# K7 R  Q                // occurs during the first time this code is called (when
9 {, ]  {; o2 ?; m  i  Q: |! p4 V( M                // implicitly loaded DLLs are initialized).  Dynamically
                // loaded DLLs shouldn't use TLS declared vars, as per the
                // SDK documentation
9 f, F  a4 M# ~# F# ?5 X                // 如果模块需要分配TLS，调用TLS初始化函数
  // 注意只有在第一次调时（bImplicitLoad!=0）才会分配TLS，就是隐式dll加载时
  // 当动态加载时(bImplicitLoad==0)就不需要声明TLS变量
" Z* `9 F3 O. z( u: ^; L: K                if ( pModuleLoaderInfo->bHasTLS && bImplicitLoad )
                {
2 h1 }1 t$ C$ n                    _LdrpCallTlsInitializers(   pModuleLoaderInfo->hModDLL,
                                                DLL_PROCESS_ATTACH );
                }
               

+ r5 E' U$ R, W. {                hModDLL = pModuleLoaderInfo->hModDLL
" V4 g1 |: }5 e4 m7 E8 h
                MOV     ESI,ESP // Save off the ESP register into ESI
- D: z' p9 t* k" L, L  
" r; A5 ~" `/ _* d! S  // 设置入口函数指针               
8 w6 Z7 @+ r0 Q7 E5 `7 C                MOV     EDI,DWORD PTR [pfnInitRoutine]                     

- f( O. X' l# {8 d                // In C++ code, the following ASM would look like:
4 T) s2 ~$ C" `                //
& e! J$ L; z% L7 V4 g                // initRetValue =
3 e/ L4 G5 d( ?- |0 l                // pfnInitRoutine(hInstDLL,DLL_PROCESS_ATTACH,bImplicitLoad);
, A, ?( C" X' d% M* J, Y" Z( P+ a$ k% Q                //

                PUSH    DWORD PTR [bImplicitLoad]
2 ?! q1 f& g$ g- v% s               
, y% G, `% u+ n6 n& e0 u" a! W+ Y                PUSH    DLL_PROCESS_ATTACH
               
                PUSH    DWORD PTR [hModDLL]
; h( P9 J% z  H$ ^. V% @               
' c9 P( C; G" [6 X$ P: b+ t                CALL    EDI     // 调用入口函数
% G$ s6 K* y' Y' v+ {% Y- H               
                MOV     BYTE PTR [initRetValue],AL  // 保存入口函数返回值

                MOV     DWORD PTR [_SaveSp],ESI // Save stack values after the
                MOV     DWORD PTR [_CurSp],ESP  // entry point code returns
) I3 Y6 [* L" ^& h
                MOV     ESP,ESI     // Restore ESP to value before the call
, `! E! ~2 X! l
; P5 Y( g( f- G% K/ _+ g( }                //
                // 检查调用前后的ESP值是否一至
  //
                if ( _CurSP != _SavSP )
                {
                    hardErrorParam = pModuleLoaderInfo->FullDllPath;

' x: x$ l; E. ^  u                    hardErrorRetCode =
                        _NtRaiseHardError(
' p) p, v1 [6 x& `% i" {                            STATUS_BAD_DLL_ENTRYPOINT | 0x10000000,
                            1,  // Number of parameters
                            1,  // UnicodeStringParametersMask,
                            &hardErrorParam,
                            OptionYesNo,    // Let user decide
$ b/ I5 m* ^6 b) U& p* B& a                            &hardErrorResponse );
1 z& M2 H5 j7 o" b/ w" D# o  @                                            
                    if ( _LdrpInLdrInit )
, \& e) ~8 R0 a                        _LdrpFatalHardErrorCount++;
' I0 e4 Z! z+ k" z" V& I7 o+ G: o
1 E& f! P) H) @5 s# S$ y5 |                    if (    (hardErrorRetCode >= STATUS_SUCCESS)
                        &&  (ResponseYes == hardErrorResponse) )
                    {
                        return STATUS_DLL_INIT_FAILED;
+ [# t$ k# x/ X/ g                    }
                }
/ y% U3 ~8 Q! c( ^
                //
                // 入口函数返回0，错误
5 j( J; j2 u+ d( P3 \                //
                if ( 0 == initRetValue )
& K2 g& D  g# m7 y( H. a                {
" f/ F: h% h% ]: ]& m                    DWORD hardErrorParam2;
1 g7 L5 Z; A0 P8 i& ^; I( s                    DWORD hardErrorResponse2;
                                       
" A/ q  k3 u6 W9 c1 p                    hardErrorParam2 = pModuleLoaderInfo->FullDllPath;
                    
% _& ?2 B# t+ D                    _NtRaiseHardError(  STATUS_DLL_INIT_FAILED,
, a9 p0 a/ N" D                                        1,  // Number of parameters
, k/ r4 [7 R" ^3 g  i8 r                                        1,  // UnicodeStringParametersMask
1 r) ~- ]5 K' B$ i% Q* K. e9 [" X                                        &hardErrorParam2,
                                        OptionOk,   // OK is only response
- O1 ^5 }! @# ^5 I                                        &hardErrorResponse2 );
                                                            
                    if ( _LdrpInLdrInit )
                        _LdrpFatalHardErrorCount++;
6 S/ W: K% E- p8 x7 _2 X6 m% d+ Q( o
                    return STATUS_DLL_INIT_FAILED;
6 R  |9 J' z9 K/ [( D0 v. X                }
0 |4 g! M9 K0 X4 K! Y- E            }
        }

        //
        // 如果EXE已经拥有了TLS，那么调用TLS初始化函数，也是在进程第一次初始化dll时
* J7 p9 A/ R/ `5 S% c- m4 v        //      
3 K- P( I% N1 X9 v, c4 U8 R        if ( _LdrpImageHasTls && bImplicitLoad )
        {
            _LdrpCallTlsInitializers(   pCurrentPeb->ProcessImageBase,
                                        DLL_PROCESS_ATTACH );
        }
( `0 r- L/ e9 h  m( g    }
    __finally
    {
) m3 F2 B' Z8 t, i8 h2 T" U( N        //
        // 第四部分；
        // 清除分配的内存
        _RtlFreeHeap( GetProcessHeap(), 0, pInitNodeArray );
+ |* {: s, l1 E  Y! r    }
6 L# \- @  {4 V. s) F. \
    return STATUS_SUCCESS;
; a% X! q/ N/ j  ^}   

; B" O6 Z4 O1 G. `% G& [+ V& l1 W这个函数分为四个主要部分：
一：第一部分调用_LdrpClearLoadInProgress函数，这个NTDLL函数返回已经被映象到内存的dll的个数。例如，你的进程调用exm.dll,而exm.dll又调用exm1.dll和exm2.dll，那么_LdrpClearLoadInProgress会返回3。得到dll个数后，调用_RtlAllocateHeap，它会返回一个内存的队列指针。伪码中的队列指针为pInitNodeArray。队列中的每个节点指针都指向一个新加载的dll的结构信息。
二：第二部分的代码通过进程内部的数据结构获得一个新加载dll的链接列表。并且检查dll是否有入口指针，如果有，就把模块信息指针加入pInitNodeArray中。伪码中的模块信息指针为pModuleLoaderInfo。但是有的dll是资源文件，并不具有入口函数。所以pInitNodeArray中节点比_LdrpClearLoadInProgress返回的数目要少。
, {) h: p& h/ K7 r/ v* L三：第三部分的代码枚举了pInitNodeArray中的对象，并且调用了入口函数。因为这部分的初始化代码有可能出现错误，所以使用了_try异常扑获功能。这就是为什么在DllMain中出现错误后不会使整个进程终止。
  i/ J0 ~5 L0 ~4 g9 J另外，在调用入口函数时还会对TLS进行初始化，当用 __declspec来声明TLS变量时，链接器包含的数据可以进行触发。在调用dll的入口函数时，LdrpRunInitializeRoutines函数会检查是否需要初始化一个TLS，如果需要，就调用_LdrpCallTlsInitializers。
* Y! _6 x( O8 F7 q3 h3 G在最后的伪代码部分使用汇编语言来进行dll的入口函数调用。主要的命令时CALL EDI；EDI中就是入口函数的指针。当此命令返回后，dll的初始化工作就完成了。对于C++写的dll，DllMain已经执行完成了它的DLL_PROCESS_ATTACH代码。注意一下入口函数的第三个参数pvReserved，当exe或dll隐式调用dll时这个参数是非零，当使用LoadLibrary调用时是零。在入口函数调用以后，加载器会检查调用入口函数前和后的ESP的值，如果不同，dll的初始化函数就会报错。检查完ESP后，还会检查入口函数的返回值，如果是零，说明初始化的时候出现了什么问题。并且系统会报错并停止调用dll。在第三部分的最后，在初始化完成后，如果exe进程已经拥有了TLS，并且隐式调用的dll已经被初始化，那么会调用_LdrpCallTlsInitializers。
四：第四部分代码是清理代码，象_RtlAllocateHeap 分配的pInitNodeArray的内存需要被释放。释放代码出现在_finally块中，调用了_RtlFreeHeap 。