В kernel32.dll существует, казалось бы, бесконечный цикл обратной пересылки. ⇐ C++

[Anonymous]

Я пишу ручной инжектор карт x86 для Windows 10.
При написании кода, отвечающего за разрешение импорта, я нашел функцию из kernel32.dll (

Код: Выделить всё

windows\syswow64\kernel32.dll

) под названием «SleepConditionVariableSRW», который является пересылкой на «api-ms-win-core-synch-l1-2-0.SleepConditionVariableSRW». DLL, с которой я тестировал свой инжектор, полагается на нее и импортирует ее из kernel32.dll.
Когда я загружаю модуль (из windows\syswow64\downlevel) и посмотрите на экспорт, SleepConditionVariableSRW снова является сервером пересылки, но снова в kernel32.dll. Я бы понял, если бы это была обычная обратная пересылка и набор API пересылался в kernelbase.dll или что-то в этом роде, но для меня это просто не имеет смысла.
Я использую DLL тестирование с импортом функции из kernel32.dll:

Код: Выделить всё

kernel32.dll

экспортируем функцию в качестве пересылки в набор API:


Набор API экспортирует функцию в качестве пересылки обратно в kernel32.dll, который в первую очередь перенаправляет набор API:


Я просмотрел каждую копию этого набора API по всему моему диску и проверил экспорты, чтобы увидеть, не пересылал ли какой-либо из них, даже x64, эту функцию в какой-либо модуль, кроме kernel32.dll. Они этого не сделали.
Я внедрил DLL, которую тестировал, с помощью LoadLibraryA и проверил ссылки на функцию, и она вызывает SleepConditionVariableSRW из базы ядра. .dll. Как загрузчик образа Windows определил, в каком модуле он находится? Я думал, что имя пересылки функции всегда будет содержать правильный модуль для поиска экспорта.

Подробнее здесь: https://stackoverflow.com/questions/790 ... rnel32-dll