windbg获取函数指针

已于 2024-01-08 20:14:59 修改
阅读量466 收藏 9
点赞数 9
文章标签: windbg调试函数地址
于 2024-01-05 09:59:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeroRazor/article/details/135401637
版权
文章详细描述了如何在Windows系统中使用FindWindowW和FindWindowExW函数,通过动态链接库和windbg调试工具追踪函数指针,以及在不同环境下查找并使用私有函数如Query_PrivateExW的过程。
摘要由CSDN通过智能技术生成 
先写一个demo,查看FindWindowW FindWindowExW的函数指针
HMODULE hModule = LoadLibrary(L"user32.dll");
	if (hModule != NULL)
	{		
		while (true)
		{			
			FUN_FindWindowW FindWindowWFunc = (FUN_FindWindowW)GetProcAddress(hModule, "FindWindowW");
			if (FindWindowWFunc != NULL)
			{
				printf("FindWindowW 函数指针地址:%p\r\n", FindWindowWFunc);
				HWND hWnd = FindWindowWFunc(L"123", NULL);
			}
			FUN_FindWindowExW FindWindowExWFunc = (FUN_FindWindowExW)GetProcAddress(hModule, "FindWindowExW");
			if (FindWindowExWFunc != NULL)
			{
				printf("FindWindowExW 函数指针地址:%p\r\n", FindWindowExWFunc);
				HWND hWnd = FindWindowExWFunc(NULL,NULL, L"DingtalkMsgComming", NULL);
				int  n = (BYTE*)FindWindowExWFunc - (BYTE*)FindWindowWFunc;
				printf("指针偏移:%d 0X%X\r\n",n,n);

				FUN_FindWindowExW TextFun = (FUN_FindWindowExW)((BYTE*)FindWindowWFunc + n);
				printf("TextFun 函数指针地址:%p\r\n", TextFun);
				hWnd = TextFun(NULL, NULL, L"DingtalkMsgComming", NULL);
				int wjr = 0;

			}
			Sleep(5000);
		}
		FreeLibrary(hModule);
	}

windbg调试该程序 设置断点

bu USER32!FindWindowW

可以看到函数指针地址和打印出来的都一样的 都是**68483650

当函数命中时,地址也一致

按F8(t)一直往下走,耐心走

可以看到他掉用了FindWindowExW函数 地址 00007ffc68485f50 和demo程序打印出来的一致

我们继续按F8还可以看到 他内部会调用USER32!InternalFindWindowExW函数,这个函数是未公开的函数地址是68485f6c

用idea工具查看下FindWindowExW函数,他调用一个sub_180025F6C函数

在点进去看

我们尝试定义InternalFindWindowExW函数原型指针

typedef HWND(WINAPI* FUN_InternalFindWindowExW)(HWND hWndParent, HWND hWndChildAfter, LPCWSTR lpClassName, LPCWSTR lpWindowName,int code);

用InternalFindWindowExW 减去 00007ffc68485f6c - FindWindowExW地址 00007ffc68485f50

= 0x1C

此时我们修改下源码

HMODULE hModule = LoadLibrary(L"user32.dll");
	if (hModule != NULL)
	{		
		while (true)
		{			
			FUN_FindWindowW FindWindowWFunc = (FUN_FindWindowW)GetProcAddress(hModule, "FindWindowW");
			if (FindWindowWFunc != NULL)
			{
				printf("FindWindowW 函数指针地址:%p\r\n", FindWindowWFunc);
				HWND hWnd = FindWindowWFunc(L"123", NULL);
			}
			FUN_FindWindowExW FindWindowExWFunc = (FUN_FindWindowExW)GetProcAddress(hModule, "FindWindowExW");
			if (FindWindowExWFunc != NULL)
			{
				printf("FindWindowExW 函数指针地址:%p\r\n", FindWindowExWFunc);				
				HWND hWnd = FindWindowExWFunc(NULL,NULL, L"DingtalkMsgComming", NULL);
				int  n = (BYTE*)FindWindowExWFunc - (BYTE*)FindWindowWFunc;
				printf("指针偏移:%d 0X%X\r\n",n,n);

				FUN_FindWindowExW TextFun = (FUN_FindWindowExW)((BYTE*)FindWindowWFunc + n);
				printf("TextFun 函数指针地址:%p\r\n", TextFun);
				HWND hWnd1 = TextFun(NULL, NULL, L"DingtalkMsgComming", NULL);
				//int wjr = 0;

				HWND hWnd2 = 0;
				FUN_InternalFindWindowExW InternalFindWindowExWFunc = (FUN_InternalFindWindowExW)((BYTE*)FindWindowExWFunc + 0x1c);
				if (InternalFindWindowExWFunc != NULL)
				{
					hWnd2 = InternalFindWindowExWFunc(NULL, NULL, L"DingtalkMsgComming", NULL,0);
				}
				int wjr = 0;
			}
			Sleep(5000);
		}
		FreeLibrary(hModule);
	}

可以发现InternalFindWindowExWFunc 返回值和 FindWindowExW 一致

今天发现win7下从win10拷贝的windgb.exe不能用,后来查资料

Windows下调试工具Windbg入门_windbg core解析-CSDN博客

需要从微软官网下载win7 sdk ,其他都是win10版本

https://www.microsoft.com/en-us/download/details.aspx?id=8279

win7下如何查找Query_PrivateExW函数指针,一定要下好符号表pdb

#define WIN32_LEAN_AND_MEAN		// 从 Windows 头中排除极少使用的资料
#include <windows.h>
#include <WS2tcpip.h>
#include <stdio.h>
#pragma comment(lib, "Ws2_32.lib")

void main()
{
	WSADATA wsaData = { 0 };
	WSAStartup(MAKEWORD(2, 2), &wsaData);
	HMODULE hModule = LoadLibrary(L"DNSAPI.dll");
	if (hModule == NULL)
	{
		printf("加载DNSAPI.dll失败\r\n");
		return;
	}

	FARPROC DnsApiAlloc = GetProcAddress(hModule, "DnsApiAlloc");
	if (DnsApiAlloc != NULL)
	{
		printf("DnsApiAlloc 函数地址: %p\r\n", DnsApiAlloc);
	}
	else
	{
		printf("DnsApiAlloc 函数地址没有找到\r\n");
	}

	struct addrinfoW hints;
	struct addrinfoW* res, * cur;
	memset(&hints, 0, sizeof(addrinfo));
	res = NULL;
	cur = NULL;

	//初始化 hints
	memset(&hints, 0, sizeof(addrinfo));
	hints.ai_family = AF_UNSPEC;		//IPv4/IPV6
	hints.ai_flags = AI_PASSIVE;		//匹配所有 IP 地址
	hints.ai_protocol = 0;			    //匹配所有协议
	hints.ai_socktype = SOCK_STREAM;    //流类型
	hints.ai_flags = AI_ALL;
	GetAddrInfoW(L"www.baidu.com", NULL, &hints, &res);
}

写一个测试demo 调用获取dns函数

使用x64dbg调试下

先在符号 ws2_32.dll GetAddrInfoW 按F2下个断点

选择dnsapi.dll 点击右键 弹出菜单 选择下载符号,一定要下载好符号


Downloading symbol dnsapi.pdb
  Signature: 70BE754EAC24444F93D3381A96404BBE2
  Destination: C:\mysymbol\dnsapi.pdb\70BE754EAC24444F93D3381A96404BBE2\dnsapi.pdb
  URL: https://msdl.microsoft.com/download/symbols/dnsapi.pdb/70BE754EAC24444F93D3381A96404BBE2/dnsapi.pdb
InternetOpenUrl failed ()...

如果出现下载失败,手动复制连接

https://msdl.microsoft.com/download/symbols/dnsapi.pdb/70BE754EAC24444F93D3381A96404BBE2/dnsapi.pdb

会下载一个blob文件 其实就是pdb

改个名字dnsapi.pdb然后拷贝到对应的目录下

此时从新来一遍调试

此时就可以看到符号表了

000007FEFC3E19AC - 000007FEFC3E1408 = 0x5A4 此时就可以知道

Query_PrivateExW 距离DnsApiAlloc 的便宜量是0x5A4了

在用windgb调试下,先设置好符号表

设置断点 bu WS2_32!GetAddrInfoW

但运行到断点时,查询命令x DNSAPI!Query_PrivateExW

就看到query_privateExW的函数地址了

小米渣的逆袭
关注
windbg调试命令 很详细
04-24
- **.cxr Address**:获取打印异常信息。 以上这些命令只是Windbg众多功能中的一部分。对于初学者而言,熟练掌握这些基本命令可以帮助快速定位问题并进行有效的调试。随着对Windbg了解的深入,还可以学习更多高级...
查找窗体
dkopg24406的专栏
09-02 1002
FindWindowFindWindowAFindWindowWFindWindowExFindWindowExAFindWindowExW findwindow:函数型:HWND FindWindow(LPCTSTR IpClassName,LPCTSTR IpWindowName); 参数: IpClassName :指向一个指定了类名的空结束字符串,或一个标识类名字符...
windbg学习笔记(四)
波波诸葛伟
01-03 422
局部变量 有两个命令可以打印当前的局部变量列表:x 和dv。x命令前文已经讲过。dv是Display local Variable的缩写。下面是对一段简单的Win32控制台代码获取其局部变量的情况: AcsVio.exe 0:000:x86> x 0019ff34 argc = 0n1 0019ff38 argv = 0x04901a68 0019ff18 ProcAdd = 0x
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1250
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
Windbg一些输出信息的解释
Donjuan的专栏
01-21 4394
下面的信息是使用Windbg准备启动一个进程之前,Windbg输出的信息,下面我用红色字体来解释输出里面的重要信息。Windbg信息# Windbg的版本号,还有一个重要的信息是最后的x86字样,因为它告诉你他是一个32位# 的调试器,所以不能调试64位的程序。然而64位的Windbg可以调试32位和64位的用# 户模式下面的进程Microsof
windbg图形工具 dump分析工具
06-26
- 模块与符号管理:加载符号文件(.pdb)以获取函数名、变量名等详细信息。 3. Windbg的图形用户界面(GUI): - GUI提供了一个友好的交互环境,简化了命令行操作,使新用户更容易上手。 - 界面分为多个窗口,如...
bruce-li-windbg
11-04
以一个常见的系统崩溃为例,通过Windbg可以获取崩溃时的内存状态、调用堆栈,然后通过符号信息找到出错的代码行,进一步分析原因,可能是内存越界、空指针引用等,从而针对性地修复问题。 总结,Bruce-Li-Windbg...
windbg 调试器原理的简单分析
09-12
`KiDebugRoutine`是一个指向调试处理函数的全局指针,在调试过程中,内核始终通过该指针调用实际的调试处理函数。 - **调试分发函数**:`KiDebugRoutine`类型的定义如下所示: ```c typedef BOOLEAN (NTAPI *...
WinDbg调试器使用
marken
01-15 1300
WinDbg配置和使用基础     WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具,可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。 1. WinDbg介绍:     Debugging Tools and Symbols: Getting Started http://www.microsoft.com/whdc/devtools
使用WinDbg —— .NET篇 (十一)
ecjtu_luowei的专栏
07-23 884
2. 如何找到参数值 还是先看代码: using System;   namespace TestStackMethod {     class Program     {         static void M3()         {             Console.Write("Press any key to con
使用WinDbg —— .NET篇 (四)
ecjtu_luowei的专栏
09-27 1924
六、 内存相关 内存管理一直都是很大的话题,内存问题也是程序中最常见的问题。一般常见的内存问题有:悬挂指针(Dangling Pointer)、重复释放(Double Free)、内存泄露(Memory Leak)。悬挂指针是指某个变量指针指向的地址内存已经被释放掉了,这个指针地址已经无效,这种错误在托管代码中已经不存在了,所以这个不讲。跟悬挂指针关系比较密切的错误是Heap Corrup
Windbg常用命令
nethm的专栏
10-26 3019
.extpath 扩展模块搜索路径 .ecxr;kb !analyze -v ~ - 列举出当前进程上下文中的所有线程 ~* - 列举出当前进程上下文中的所有线程的详细信息 lm - 列举出所有加载的模块 !sym noice/quiet - 代码提示开关 .srcpath -设置源码路径 k - 显示当前堆栈 ~*kb -显示出所有线程占用的堆栈 dv - 显示出本地变量(使
使用WinDbg —— .NET篇 (一)
ecjtu_luowei的专栏
02-27 5904
一、前言 WinDBG作为Microsoft的御用工具,其强大之处使我这等小辈难以望其项背,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、dump文件调试、远程调试等。其灵活性和可扩展性能极大满足调试要求。所以对于WinDBG,读者非常有必要花费一些业余时间来学习研究。 本文主要是通过调试C#编写的NET程序来对WinDBG作一个片面的介绍,由于笔者真正开始使用Wind
使用WinDbg —— .NET篇 (十三)
ecjtu_luowei的专栏
08-13 1239
8.3 C#创建Mini dump 8.3.1 概述DbgHelp库 Microsoft提供了DbgHelp库,它包含了一系列关于辅助调试PE格式的API。其相关的dll是DbgHelp.dll,这个文件包含在了操作系统里面,但是早期的操作系统里面(我映像中是在Win7版本之前)这个Dll文件是不可用的。所以如果你的客户还有一些Win XP用户或早期版本的Windows OS用户的
windbg调试.net程序知识快速参考
最新发布
omage的专栏
02-28 845
最近因团队下一个开发工程师的WPF应用存在偶尔卡顿的现象,重新温习了下windbg的知识,此次记录备忘下,以下是整理的思维导图,有点乱,哈哈。
使用Windbg调试.Net程序
蝴蝶君的记事本
04-06 300
使用Windbg调试.Net程序是比用VS痛苦的.当然没有工具的时候用一下也是可以顶一下的. 注:写这篇文章的时候,我也是刚学习Windbg几天时间. 开始 加载程序,有两种加载方式.附加和加载程序运行. 1附加程序 附加程序是就用Windbg附加正在运行的进程.通常来说,即是跳过Main函数的某些初始化部份,通调试都是持续提供服务部份. ...
使用WinDbg —— .NET篇 (八)
ecjtu_luowei的专栏
05-28 883
7.2 Mutex, Semaphore 与 EventWaitHandle 首先如果要避免非原子性的操作的读脏问题,就不免涉及到线程间的通信问题,这里所说的通信是指:一个线程在运行到某个地方通知其他的线程可以运行或者通知其他线程需要等待的通信,从而避免读脏问题,在Windows主要使用EventWaitHandle(奇迹般的找不到这个关键字的中文翻译)、互斥体(Mutex)、信号量(Sema
windbg - 查看函数地址
tuan8888888的博客
02-08 2733
有时候需要查看函数地址,官方地址https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/x--examine-symbols- 示例:x /D /f lec_teacher!c* 以下命令将查找 MyModule 中包含字符串 "spin" 的所有符号。 0:000> x mymodule!*spin* 以下命令快速查找 MyModule 中的 "DownloadMinor" 和 "Downloa..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值