解析pdb文件得到未导出变量地址(转)

最新推荐文章于 2024-05-10 09:38:27 发布
最新推荐文章于 2024-05-10 09:38:27 发布
阅读量639 收藏 2
点赞数
原文链接:http://www.cnblogs.com/kuangke/p/9397614.html
版权

程序要用到dbghelp.dll中的一些函数
http://msdn.microsoft.com/en-us/library/ms679291%28VS.85%29.aspx
要自己下载系统对应的符号文件

首先是一些初始化的东西:
设置符号选项,调用下面两个函数
   DWORD Options = SymGetOptions(); 
   Options = Options|SYMOPT_DEBUG;
   SymSetOptions(Options);

调用SymInitialize函数进行初始化(这是必须的)
   hProcess = GetCurrentProcess();
   BOOL bRet = SymInitialize(hProcess,0,FALSE);
   if(!bRet)
   {
    printf("SymInitialize error ...\n");
   }
可以用函数SymSetSearchPath(hProcess,SymbolPath);设置符号搜索路径

然后用SymLoadModule64加载模块,这里是ntoskrnl.exe
char FileName[256] ;
GetSystemDirectory(FileName,sizeof(FileName));
strcat(FileName,"\\ntoskrnl.exe");
BaseOfDll = SymLoadModule64(hProcess,NULL,FileName,NULL,0,0);

BaseOfDll返回加载的基址

然后就可以调用SymEnumSymbols查询符号了
SymEnumSymbols(hProcess,BaseOfDll,0,EnumSymCallBack,0);
参数EnumSymCallBack是一个回调函数,在里面得到未导出函数的VA

BOOL CALLBACK EnumSymCallBack(PSYMBOL_INFO pSymInfo,ULONG SymbolSize,PVOID UserContext)
/*
   参数pSymInfo结构Name成员是符号名,Address是符号地址(The virtual address of the start of the symbol
*/

   if(strcmp((pSymInfo->Name), "PspCreateProcessNotifyRoutine")==0)
   {
    printf("Oh,yeah! %s :%0x\n",pSymInfo->Name,pSymInfo->Address);
   }
   return TRUE;
}



完整代码: 
[code]
#include <stdio.h>
#include <windows.h>
#include "dbghelp.h"

#pragma comment(lib,"dbghelp.lib")

BOOL CALLBACK EnumSymCallBack(PSYMBOL_INFO pSymInfo,ULONG SymbolSize,PVOID UserContext);

int main(int argc, char* argv[])
{
HANDLE hProcess;
DWORD64 BaseOfDll;
PIMAGEHLP_SYMBOL pSymbol = NULL;

DWORD Options = SymGetOptions();

Options = Options|SYMOPT_DEBUG;
SymSetOptions(Options);

hProcess = GetCurrentProcess();
BOOL bRet = SymInitialize(hProcess,0,FALSE);
if(!bRet)
{
   printf("SymInitialize error ...\n");
}
char SymbolPath[256];
GetCurrentDirectory(sizeof(SymbolPath),SymbolPath);
strcat(SymbolPath,"\\symbols");
SymSetSearchPath(hProcess,SymbolPath);

char FileName[256] ;
GetSystemDirectory(FileName,sizeof(FileName));
strcat(FileName,"\\ntoskrnl.exe");
BaseOfDll = SymLoadModule64(hProcess,NULL,FileName,NULL,0,0);
if(BaseOfDll == 0)
{
   DWORD nErr = GetLastError();
}
SymEnumSymbols(hProcess,BaseOfDll,0,EnumSymCallBack,0);
SymUnloadModule64(hProcess,BaseOfDll);
SymCleanup(hProcess);
for(;;);

return 0;
}

BOOL CALLBACK EnumSymCallBack(PSYMBOL_INFO pSymInfo,ULONG SymbolSize,PVOID UserContext)

if(strcmp((pSymInfo->Name), "PspCreateProcessNotifyRoutine")==0)
{
   printf("Oh,yeah! %s :%0x\n",pSymInfo->Name,pSymInfo->Address);
}
if(strcmp((pSymInfo->Name), "PspLoadImageNotifyRoutine")==0)
{
   printf("Oh,yeah! %s :%0x\n",pSymInfo->Name,pSymInfo->Address);
}
if(strcmp((pSymInfo->Name), "PspCreateThreadNotifyRoutine")==0)
{
   printf("Oh,yeah! %s :%0x\n",pSymInfo->Name,pSymInfo->Address);
}
if(strcmp((pSymInfo->Name), "CmpCallBackVector")==0)
{
   printf("Oh,yeah! %s :%0x\n",pSymInfo->Name,pSymInfo->Address);
}
if(strcmp((pSymInfo->Name), "KeBugCheckCallBackListHead")==0)
{
   printf("Oh,yeah! %s :%0x\n",pSymInfo->Name,pSymInfo->Address);
}

return TRUE;
}

jpg改rar 

转载于:https://www.cnblogs.com/kuangke/p/9397614.html

aijia1857
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用PDB文件获取导出全局变量、函数等信息
0xC0000005
11-25 2149
方法来源于对Sysinternals的procexp的逆向。 在通过kernel的pdb获取导出的MmSizeOfPagedPoolInBytes和MmMaximumNonPagedPoolInBytes时,procexp执行了如下几个步骤: 1. 获取kernel的映像文件名称     调用IsProcessorFeaturePresent判断PAE是否开启,以确定使用ntoskrn
解析PDB中的函数名对应的地址
qq_41490873的博客
01-06 757
#include <Windows.h> #include<stdio.h> #include <imagehlp.h> #include <locale.h> #pragma comment(lib,"DbgHelp.lib") BOOL CALLBACK CallBackProc(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext) { printf("函数名: %s\r\n地址: %0
探索高效PDB解析库:RawPDB
最新发布
gitblog_00066的博客
05-10 345
探索高效PDB解析库:RawPDB 项目地址:https://gitcode.com/MolecularMatters/raw_pdb 在软件开发领域,尤其是在C++的世界里,理解并处理程序数据库(PDB文件是必不可少的。现在,我们向您隆重介绍RawPDB——一个高效且直接访问Microsoft ProgramDataBase PDB文件的C++11库。 项目简介 源自[Live++]项目的核心...
PDB文件解析
爱杀之爪的矩阵
02-14 3568
<br />1在codeproject上面搜pdb<br /> <br />2vs2005或者2008自带的DIA SDK中的samples:Dia2dump<br /> <br /> 
PDB文件解析总结
kuangben2000的博客
02-11 4232
2019-11-29Windows约 5269 字 预计阅读 11 分钟 773 次阅读通过上面的几个例子可以看到使用DIA SDK解析pdb文件还是有点复杂的,关键是要理清要获取的数据属于哪种类型以及数据相关信息是怎样与数据符号相关联的,这点还是要参考DIA SDK中Sample程序的代码。文章作者 任意上次更新 2019-11-29nullWindows。
读取PDB文件
09-08
读取PDB中重原子坐标,并以一定格式输出
pdb_viewer:PDB文件内容的工具
06-12
当遇到崩溃、错误或性能问题时,PDB文件能帮助开发者定位问题,因为它记录了代码的原始状态,包括优化的源代码行号、变量的类型和值。pdb_viewer工具的出现,使得这一过程更加直观和高效。 pdb_viewer的主要功能...
查看PDB文件
11-29
- `DbgHelp API`:微软提供的编程接口,允许开发者编写程序来读取和解析PDB文件。 - `LookPDB.exe`:这可能是一个专门用于查看PDB文件的工具,它可以提供图形化的界面,便于非程序员或不熟悉命令行的用户使用。 3...
Dump文件txt
06-15
同时,掌握一些基本的调试技巧,如使用PDB文件(Program Database)匹配源代码,查找内存地址对应的变量,或者通过异常代码识别问题类型,都是非常重要的。 总的来说,将Dump文件为txt是故障排查过程中的一个重要...
PE文件解析指南
12-08
- 数字签名:确保PE文件被篡改,提供来源验证。 - 病毒扫描:由于PE文件的结构允许附加数据,它们经常成为病毒和恶意软件的载体。因此,理解PE文件有助于安全分析和防御。 学习PE文件解析,不仅可以帮助你更好...
PB反译工具对PDB进行反编译,非常好用
11-10
PB反译器则专为PowerBuilder应用程序设计,能够解析PDB文件,提取出PowerBuilder的源代码逻辑,这对于那些没有源代码但需要理解或修改PB应用的人来说非常有用。 使用PB反译器的主要优点包括: 1. **源代码恢复**:...
VS2010下使用WinDbg通过dmp和pdb文件定位到崩溃位置
01-16
VS2010下使用WinDbg通过dmp和pdb文件定位到崩溃位置的工程集,里面包含了含有崩溃代码的dll工程和测试工程,已测试,可以直接使用。
pdb符号文件详解
dvlinker的技术专栏
06-28 9458
本文详细讲述了pdb符号库文件相关的内容。
PDB文件详解一:标题部分
m0_67843839的博客
09-25 1507
PDB标题部分内容详解,包含HEADER、TITLE、COMPND、SOURCE、KEYWDS、EXPDTA、AUTHOR、REVDAT、JRNL、REMARK行头解析
获取导出的内核函数地址
09-10 2063
使用导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出的函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
配置微软和chrome pdb拉取地址
fishmai的专栏
09-01 1485
SRV*e:\symbols*http://msdl.microsoft.com/download/symbols;SRV*e:\symbols*http://chromium-browser-symsrv.commondatastorage.googleapis.compdb无法加载正确解决方案:1、手工加载dll pdb2、删除dll,重新生成3、删除pdb,重新生成2、重启vs3、重启win
使用Biopython解析PDB结构
Eumenidus的博客
04-01 1816
使用biopython解析PDB结构文件
通过符号文件获取函数地址
125096
06-27 3438
//通过符号文件获取函数地址 #include #include #include #include #include "ntdll.h" #pragma comment(lib,"dbghelp.lib") //获取函数地址PDB ULONG_PTR GetFunctionAddressPDB(HMODULE hMod, const WCHAR * szApiName) {
VS2005利用pdb加源码定位崩溃所在代码行
闻缺陷则喜何志丹
10-18 1126
exe、dll pdb和 dump  放在同一目录。 VS2005打开解决方案(项目)的方式打开dump文件,之后F5调试,会直接定位到崩溃处。 利用调用堆栈可以看到函数调用关系。 一般情况上会找不到源码,从snv下载对应版本的此文件(本例是dll1\a0.cpp)   “查找源”对话框点了“取消”,如何重新关联源文件? 1,在解决方案的属性中,清空“不查找这些源文件” 2
fasta文件pdb文件
07-14
你可以使用BioPython库将fasta文件换为pdb文件。首先,确保你已经安装了BioPython库。然后,你可以按照以下步骤...运行代码后,你将得到换后的pdb文件。 希望这对你有所帮助!如果你有任何其他问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值