Discussion :

[hh-cx]

Dans le cadre du portage d'une appli maison vers Windows, je suis plongé dans l'api win32 et plus précisement sur les DLL.
Après une question sur FreeLibrary(), en voilà une autre par contre sur la sécurité de l'usage des DLL. En fait plusieurs autres.

1. Quel(s) solution(s) existe(nt) au niveau de l'api win32 pour vérifier que la DLL chargée est bien celle qui était attendue (qu'un rigolo ne s'amuse(ra) pas à remplacer la DLL en question par une autre DLL, exportant les meme fonctions mais executant en fait tout à fait autre chose) ? Ou je dois passer par la bonne vieille vérification du checksum du fichier?

2. Est-il possible d'intercepter les évenements (s'ils existent au niveau du processus sujet à l'injection) DLL_PROCESS_ATTACH et DLL_THREAD_ATTACH pour éviter l'injection de DLL, ou y'a t'il une autre facon de proteger les processus contre cela?

Certains diront que c'est de la parano sécuritaire, c'est peut être vrai (j'ai l'impression de pas maitriser totalement les droits et privilèges et autres concepts sous windows comme sous unix) et c'est que les DLL en question me sont fournis sous ce format là, quand on maitrise pas vraiment les chose (la programmation api win32 et les environnements windows), on a souvent peur que quelque chose nous échappe ...

Merci d'avance pour votre aide/éclaircissements.

[Agadoodoodoo]

1. Quel(s) solution(s) existe(nt) au niveau de l'api win32 pour vérifier que la DLL chargée est bien celle qui était attendue (qu'un rigolo ne s'amuse(ra) pas à remplacer la DLL en question par une autre DLL, exportant les meme fonctions mais executant en fait tout à fait autre chose) ? Ou je dois passer par la bonne vieille vérification du checksum du fichier?

A ma connaissance il n'y en a pas. Les DLL "Proxy" en sont l'exemple parfait. Elles permettent de dérouter les appels de fonction de la library vers une DLL intermédiaire qui possède les mêmes interfaces de fonctions que ceux de la DLL d'origine.
Il existe des DLL proxy pour DirectX ou OpenGL qui permettent d'intercepter les objets 3D des applications ou jeux video pour les enregistrer et s'en servir dans nos propres applications.

[omen999]

comme indiqué par Agadoodoodoo, il n'y pas de solution simple pour authentifier une dll au chargement
et c'est bien commode parce que c'est un trick que j'utilise souvent
quant au checksum, pas très réaliste car il ne suffit pas de vérifier les dll explicitement liées ou chargées dynamiquement par le prog mais aussi toutes celles chargées par la foultitude des libs standards microsoft qui peuvent varier suivant les version de l'os...

Est-il possible d'intercepter les évenements (s'ils existent au niveau du processus sujet à l'injection) DLL_PROCESS_ATTACH et DLL_THREAD_ATTACH pour éviter l'injection de DLL, ou y'a t'il une autre facon de proteger les processus contre cela?

l'injection de dll n'agit généralement pas au stade de la création du process
le +souvent, elle se fait à partir d'un autre process vers le process cible déjà créé au moyen d'api système documentée ou mieux encore émulée pour contourner les protections éventuelles
la dll injectée prend ensuite la main au moyen de hooks divers et variés

(la programmation api win32 et les environnements windows), on a souvent peur que quelque chose nous échappe ...

sous windows, c'est déjà fait...

[hh-cx]

A ma connaissance il n'y en a pas. Les DLL "Proxy" en sont l'exemple parfait.

l'injection de dll n'agit généralement pas au stade de la création du process
le +souvent, elle se fait à partir d'un autre process vers le process cible déjà créé au moyen d'api système documentée ou mieux encore émulée pour contourner les protections éventuelles
la dll injectée prend ensuite la main au moyen de hooks divers et variés sous windows, c'est déjà fait...

Au moins comme ca c'est clair merci à vous deux.
Je pensais concrétement que lorsqu'un autre process lancerait un procédure d'attachement de dll au mien, il y'aurait un évenement à récupérer quelque part. Apparemment non.
Pour le checksum, je charge une 12ène de DLL faite maison, et je pense que je vais adopter cette solution, au moins pour ajouter un obstacle.