根据 PDB 文件分析 DLL 内部符号的地址

已于 2023-10-09 17:37:53 修改
阅读量358 收藏 1
点赞数 1
分类专栏: 业余学习 Windows 基础编程 文章标签: c++ windows 测试工具 visual studio 链表
于 2023-10-09 17:37:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59075481/article/details/133709093
版权

最近遇到给定一个 DLL 文件,但是想快速定位内部函数(没有导出)的地址,想到 Sym 系列函数可以实现根据已知的 PDB 调试符号数据库直接分析出函数的地址,参考了 MSDN 可以知道我们需要依次调用如下函数:

SymInitialize -> SymSetOptions -> SymLoadModuleEx -> SymEnumSymbols -> CallBackProc

最后就是进入到我们的回调函数 CallBackProc 中处理信息。

SymEnumSymbols 支持第三个参数传入结构体指针,这里我们将需要的信息放在一个结构体中,以便于回调函数内部使用它们:

typedef struct _tagCALLBACKPACKAGE
{
    LPCTSTR   szDllPath = NULL;   // 要检索的 Dll 文件路径,以 null 结尾的字符串
    FILE*     logfile = NULL;              // 打开的日志文件的路径,必须具有写入权限
    DWORD64   BaseOfDll = NULL; // 当前模块的基地址
}CALLBACKPACKAGE, * LPCALLBACKPACKAGE;

完整代码如下:

#include <iostream>
#include <Windows.h>
#include <imagehlp.h>
#include <locale.h>
#include <Shlwapi.h>

#pragma comment(lib, "DbgHelp.lib")
#pragma comment(lib, "Shlwapi.lib")

typedef struct _tagCALLBACKPACKAGE
{
	LPCTSTR   szDllPath = NULL;
	FILE*     logfile = NULL;
	DWORD64   BaseOfDll = NULL;
}CALLBACKPACKAGE, * LPCALLBACKPACKAGE;

BOOL CALLBACK CallBackProc(
	PSYMBOL_INFO pSymInfo, 
	ULONG SymbolSize, 
	PVOID UserContext
)
{
	if (UserContext == nullptr)
	{
		SetLastError(ERROR_INVALID_PARAMETER);
		printf("参数 UserContext 不能为空。\n");
		return FALSE;
	}

	auto      pkg = (LPCALLBACKPACKAGE)UserContext;
	FILE*     hLogFile = pkg->logfile;
	DWORD64   BaseOfDll = pkg->BaseOfDll;
	fprintf(hLogFile,
		"函数名: %s\r\n地址: 0x%I64X \r\n\r\n", 
		pSymInfo->Name, 
		pSymInfo->Address - BaseOfDll);
	return TRUE;
}

char* UnicodeToAnsi(const wchar_t* szStr, char* szDest)
{
	int nLen = WideCharToMultiByte(CP_ACP, 0, szStr, -1, NULL, 0, NULL, NULL);
	if (nLen == 0)
	{
		return NULL;
	}
	char* pResult = new char[nLen];
	WideCharToMultiByte(CP_ACP, 0, szStr, -1, pResult, nLen, NULL, NULL);
	strcpy_s(szDest, nLen, pResult);
	delete[] pResult;
	return szDest;
}

BOOL GetSymbolProc(LPCALLBACKPACKAGE* lpCallBackPackage)
{
	if ((*lpCallBackPackage) == nullptr)
	{
		SetLastError(ERROR_INVALID_PARAMETER);
		printf("参数 lpCallBackPackage 不能为空。\n");
		return FALSE;
	}

	CALLBACKPACKAGE* pkg = (*lpCallBackPackage);
	HANDLE hProcess = NULL;
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, 
		FALSE, GetCurrentProcessId()); // 获取当前进程的句柄
	
	/* 初始化进程的符号处理程序。
	// SymInitialize 函数用于初始化进程的符号处理程序。 
	// 在符号处理程序的上下文中,进程是收集符号信息时要使用的方便对象。 
	// 通常,调试器和其他工具使用符号处理程序,
	// 这些工具需要为正在调试的进程加载符号。
	*/

	if (!SymInitialize(hProcess, NULL, FALSE))
	{
		CloseHandle(hProcess);
		SetLastError(ERROR_DELAY_LOAD_FAILED);
		printf("初始化进程的符号处理程序失败。\n");
		return FALSE;
	}

	// 更改当前符号调试器的选项掩码
	// 
	// 当应用程序使用库时,可以多次更改这些选项。 
	// 任何选项更改都会影响将来对符号处理程序的所有调用。

	DWORD dwOpt = SymGetOptions();
	SymSetOptions(
		dwOpt | SYMOPT_DEFERRED_LOADS | 
		SYMOPT_UNDNAME | SYMOPT_CASE_INSENSITIVE);

	// UNICODE 转换
	char szFileName[MAX_PATH] = { 0 };
	UnicodeToAnsi(pkg->szDllPath, szFileName);
	size_t len = strlen(szFileName);
	szFileName[len] = '\0';
	szFileName[len - 1] = 'b';
	szFileName[len - 2] = 'd';
	szFileName[len - 3] = 'p';

	if (!PathFileExistsA(szFileName))
	{
		SetLastError(ERROR_FILE_NOT_FOUND);
		printf("找不到 PDB 文件。\n");
		return FALSE;
	}
	szFileName[len - 1] = 'l';
	szFileName[len - 2] = 'l';
	szFileName[len - 3] = 'd';
	// 符号处理程序为模块创建一个条目,如果已关闭延迟符号加载选项,
	// 则尝试加载符号。 如果启用了延迟符号加载,则模块将
	// 被标记为延迟,并且不会加载符号,直到对模块中的符号进行引用。
	// 因此,在调用 SymLoadModuleEx 后,应始终调用
	// SymGetModuleInfo64 函数。

	DWORD64 dwSymModule = SymLoadModuleEx(
		hProcess, NULL, 
		szFileName, NULL, 
		0, 0, NULL, 0);

	if (0 == dwSymModule)
	{
		SymCleanup(hProcess);
		SetLastError(ERROR_DELAY_LOAD_FAILED);
		printf("加载符号模块失败。\n");
		return -1;
	}
	// 模块基地址
	wprintf(L"SymModuleBaseAddress: 0x%I64X\n", dwSymModule);
	pkg->BaseOfDll = dwSymModule;
	// 枚举模块信息
	if (!SymEnumSymbols(
		hProcess, 
		dwSymModule, 
		0,
		CallBackProc, 
		pkg))
	{
		SymCleanup(hProcess);
		SetLastError(ERROR_ACCESS_DENIED);
		printf("枚举模块信息失败。err_code: [%d]\n", GetLastError());
		
		return -1;
	}
	return SymCleanup(hProcess);
}

int main(int argc, char* argv[])
{
	// 初始换变量,为结构体分配内存
	FILE* hLogFile = NULL;
	CALLBACKPACKAGE* pkg = new CALLBACKPACKAGE;
	if (pkg == nullptr)
	{
		SetLastError(ERROR_STACK_OVERFLOW);
		printf("系统当前内存不足。\n");
		return 1;
	}
	// 打开指定的日志文件
	fopen_s(&hLogFile, "F:\\storage_log.txt", "w");// 信息保存路径
	if (hLogFile == NULL)
	{
		pkg->logfile = NULL;
		delete pkg;
		SetLastError(ERROR_FILE_NOT_FOUND);
		printf("无法打开指定的文件。\n");
		return 2;
	}
	// 设置结构体成员
	pkg->logfile = hLogFile;
	pkg->szDllPath = L"F:\\windows.storage.dll"; // 要查询的 DLL 路径

	if (!GetSymbolProc(&pkg))// 调用遍历函数
	{
		fclose(hLogFile);
		pkg->logfile = NULL;
		delete pkg;
		SetLastError(ERROR_ACCESS_DENIED);
		printf("遍历 PDB 文件信息失败。err_code: [%d]\n", GetLastError());
		return 3;
	}
	printf("操作已经完成。\n");

	// 清理环境
	fclose(hLogFile);
	pkg->logfile = NULL;
	delete pkg;
	
	system("pause");
	return 0;
}

 测试结果是将分析的地址和函数名称保存至路径下的一个文本文档下,打开后效果如图:

可见地址都是相对于模块首地址的偏移,计算结果和 IDA 分析结果一致。

转载请注明出处:根据 PDB 文件分析 DLL 内部符号的地址icon-default.png?t=N7T8http://t.csdnimg.cn/dnlqA

涟幽516
关注
专栏目录
C++软件调试技术】什么是pdb文件?如何使用pdb文件?哪些工具需要使用pdb文件
dvlinker的技术专栏
06-04 1万+
本文结合多年来排查C++软件异常的实践,详细介绍什么是pdb文件,哪些工具需要使用到pdb文件,以及如何去使用pdb文件,以供大家借鉴或参考。
STM32CUBEMX SYSTICK us延时
hqy450665101的博客
11-07 1749
STM32CUBEMX SYSTICK HAL库中systick定时器默认1Khz 即1ms 所以HAL_Delay()是ms延时 main函数开始会调用HAL_Init()函数 HAL_Init()函数中调用HAL_InitTick(TICK_INT_PRIORITY) HAL_InitTick()函数中调用 HAL_SYSTICK_Config(SystemCoreClock / (1000UL / (uint32_t)uwTickFreq)设置为1ms进一次中断 只需要使用HAL_SYSTICK_Co
Visual Studio里利用pdb文件进入lib调试方法
tomwillow的博客
07-01 6408
1. 基础知识 静态库和动态库 首先说一下,库的导出分为静态库和动态库。 导出静态库的话,会生成一个.lib文件,其实就是.obj的集合,.obj又是.cpp编译得到的,所以,静态库里有函数的实现。不过这些实现是二进制的,是不带源码的。使用静态库的时候,需要链接.lib,包含.h。 导出动态库的话,会生成.dll文件和.lib文件,动态库生成的.lib文件会很小,因为这里的.lib只需要指明函数在.dll中的位置就可以了。使用的时候,需要把.dll和程序将要生成的.exe放在一个位置(双击exe运),或
VS2010下使用dmp文件pdb文件定位到dll中崩溃位置的方法
热门推荐
布袋和尚
01-15 1万+
2018-01-15 创建人:Ruo_Xiao 邮箱:xclsoftware@163.com 一、基础链接 http://blog.csdn.net/itworld123/article/details/79041500 http://blog.csdn.net/itworld123/article/details/79047788 http://blog.csdn.net/itwo
PDB文件DLL文件动态链接库(Dynamic Link Library)
zam183的博客
03-21 5163
一 什么是PDB文件 大部分的开发人员应该都知道PDB文件是用来帮助软件的调试的。但是他究竟是如何工作的呢,我们可能并不熟悉。本文描述了PDB文件的存储和内容。同时还描 述了debugger如何找到binay相应的PDB文件,以及debugger如何找到与binay对应的源代码文件。本文适用于所有的Native和 Managed的开发人员。 在开始前,我们先定义2个术语:private bui...
[Win32]一个调试器的实现(五)调试符号
zhangyanquen的技术专栏
12-10 968
一个调试器应该可以跟踪被调试程序执到了什么地方,显示下一条将要执的语句,显示各个变量的值,设置断点,进单步执等等,这些功能都需要一个基础设施的支持,那就是调试符号。   什么是调试符号 我们知道,在exe、dll等可执文件中保存的数据大部分都是二进制指令,CPU直接读取这些指令并执。那么调试器是如何知道每条指令对应哪个源文件的哪一代码呢?它又是如何知道每个变量和函数的名称,并显
qt5.11.1 vs调试时需要的pdb文件
03-16
3. **符号解析错误**:在没有pdb文件的情况下,VS可能无法正确解析Qt函数和变量,导致调试体验下降。 解决这些问题的关键在于获取与Qt库对应的pdb文件。这些文件通常不在Qt安装包中提供,但可以通过以下途径获得: ...
PDB文件转TXT文件工具
03-09
PDB文件通常与编译后的DLL或EXE文件一起使用,使得调试器能够关联到原始源代码。 本文将详细介绍如何使用“PDB文件转TXT文件工具”将PDB内容转换为TXT文档,以便于阅读和分析。 首先,让我们了解这个工具的核心...
Visual Studio 调试器中指定符号 (.pdb) 和源文件
最新发布
dvlinker的技术专栏
05-02 1万+
Visual Studio 调试器中指定符号 (.pdb) 和源文件
根据虚拟地址获取实际地址
此战必胜
01-29 571
虚拟地址和实际地址的映射关系
VC++ 利用PDB和dump文件定位问题并进调试
biyusr的专栏
07-13 1481
转载:https://blog.csdn.net/zfs_kuai/article/details/43646665 转载:https://blog.csdn.net/i_chaoren/article/details/81453142 一、什么是PDB文件 1. PDB文件是"程序数据库" Program Data Base的简称,包含的程序的代码信息 2.通过这个文件我们可以查看对应断电的位置,堆栈信息等内容 3.使用PDB使得我们无需代码也可以掌握程...
解析PDB中的函数名对应的地址
qq_41490873的博客
01-06 847
#include <Windows.h> #include<stdio.h> #include <imagehlp.h> #include <locale.h> #pragma comment(lib,"DbgHelp.lib") BOOL CALLBACK CallBackProc(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext) { printf("函数名: %s\r\n地址: %0
关于PDBDLL
GH_HOME的专栏
05-30 5960
编写源码的时候,会调用一些库,库的呈现形式为pdbdll以及lib 以opencv为例,其中我们调用的库的接口写在include文件夹中的.hpp中 程序运的时候会调用dll,那么dll对应程序源码的哪一是通过pdb来告知我们的。所以pdb存放了我们在编译这个dll的时候这个dll对应的源代码文件的位置信息(在哪个文件夹下的那个cpp下的哪一)。所以pdb在编译生成后要对应源码文件的位置
利用DbgHelp获取导出函数信息
yjz1409276的专栏
08-14 1822
#include "stdafx.h" #include #include #include #pragma comment(lib,"DbgHelp.lib") BOOL CALLBACK CallBackProc( PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext ) { printf( "函数名: %s\r\n地址
在WSS 3.0中构建自定义内容类型(翻译)
weixin_30376163的博客
06-04 58
在WSS 3.0中构建自定义内容类型(翻译) 总论:在Windows SharePoint Services中,内容类型是应用于特定内容的可重复利用的设置集合。学习在Microsoft Visual Studio 2005中为WSS 3.0构建自定义内容类型。 应用:Microsoft Office 2007, Windows ShareP...
visual studio lib、dllpdb文件
诺有缸的高飞鸟的博客
03-31 1282
目录写在前面先说结论什么是lib和dlllib与dll的32与x64版本对应创建动态库项目创建c++控制台应用程序lib版本不对的结果dll版本不对的结果pdb文件的作用参考及感谢完 写在前面 在配置一些开源项目的时候,往往需要添加一些另外的开源库作为子模块,有时会遇到由于lib、dll版本问题配置失败,现将部分问题记录于此 先说结论 什么是lib和dll 可参考此文【整理】Visual Studio如何导入lib, DLL文件 lib与dll的32与x64版本对应 现在很多的开源库都会提供32以及x64版
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涟幽516

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值