При написании кода, отвечающего за разрешение импорта, я нашел функцию из kernel32.dll (
Код: Выделить всё
windows\syswow64\kernel32.dllКогда я загружаю модуль (из windows\syswow64\downlevel) и посмотрите на экспорт, SleepConditionVariableSRW снова является сервером пересылки, но снова в kernel32.dll. Я бы понял, если бы это была обычная обратная пересылка и набор API пересылался в kernelbase.dll или что-то в этом роде, но для меня это просто не имеет смысла.
Я использую DLL тестирование с импортом функции из kernel32.dll:
Код: Выделить всё
kernel32.dll
Набор API экспортирует функцию в качестве пересылки обратно в kernel32.dll, который в первую очередь перенаправляет набор API:
Я просмотрел каждую копию этого набора API по всему моему диску и проверил экспорты, чтобы увидеть, не пересылал ли какой-либо из них, даже x64, эту функцию в какой-либо модуль, кроме kernel32.dll. Они этого не сделали.
Я внедрил DLL, которую тестировал, с помощью LoadLibraryA и проверил ссылки на функцию, и она вызывает SleepConditionVariableSRW из базы ядра. .dll. Как загрузчик образа Windows определил, в каком модуле он находится? Я думал, что имя пересылки функции всегда будет содержать правильный модуль для поиска экспорта.
Подробнее здесь: https://stackoverflow.com/questions/790 ... rnel32-dll
