为什么注入的任何 DLL 都会导致主机进程崩溃？

Question

在对我的软件的新版本进行 Beta 测试时，一些用户报告运行该应用程序时出现异常。在这两种情况下，都是：“应用程序无法正确启动（0xc0000142）”。我也看到它为 0xc0000005。我发现本地系统也存在此错误，并且在调试器下运行它时发现“datamngr.dll”存在访问冲突并且在堆上分配失败。我很快发现“datamngr.dll”是间谍软件，并且正在像系统的 AppInit 中一样加载。

一旦我清除了 AppInit 注册表项，这个问题就消失了。我通过 Process Monitor 检查了它，每当注入这个 DLL 时，我的应用程序就会崩溃。我认为这只是写得不好的间谍软件，但后来我发现其他 DLL 也在做同样的事情（例如 acaptuser32.dll，这是合法软件）。对我来说奇怪的是我的软件的先前版本没有崩溃。这两个版本之间有很多很多的变化，所以很难说到底是什么。

我从哪里开始呢？一些在线探索显示，Firefox 等应用程序取代了 LoadLibrary，将 DLL 列入黑名单，防止注入。但我想从更基本的问题开始——为什么应用程序现在崩溃了，而以前没有崩溃？

我意识到这是非常模糊的，但这几乎是不可避免的。我希望我做错的项目的属性中有一些明显的东西。我尝试过打开和关闭 ASLR、打开和关闭 DEP...我尝试过延迟加载 user32.dll 并通过 LoadLibrary 手动加载它（将 SetErrorMode 设置为忽略错误），但没有任何效果。我们已经在 Windows XP 和 Windows 7（32 位和 64 位）上看到过这种情况发生。

任何关于从哪里开始的指示将不胜感激。如果有人需要其他详细信息，我将提供尽可能多的信息。

干杯

Answer 1

我确实找到了解决办法。我使用 Process Monitor 来比较带有和不带有 DLL 注入器的版本中 DLL 加载的顺序。让我印象深刻的一件事是我首先包含了加载 .NET（通过 LoadLibrary）的 C++ DLL。因为 CLR 是如此庞大，所以我决定尝试延迟加载该 DLL 和所有 .NET DLL。就这样——我的问题已经消失了。

所以正如雷蒙德·陈（Raymond Chen）所说——秩序是脆弱的。如果其他人遇到这个问题，我建议调整你的 DLL 加载顺序。