利用PDB文件获取未导出全局变量、函数等信息

最新推荐文章于 2023-02-11 12:25:32 发布
最新推荐文章于 2023-02-11 12:25:32 发布
阅读量2.1k 收藏
点赞数
文章标签: access path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxinjiang/article/details/7013488
版权
方法来源于对Sysinternals的procexp的逆向。

在通过kernel的pdb获取未导出的MmSizeOfPagedPoolInBytes和MmMaximumNonPagedPoolInBytes时,procexp执行了如下几个步骤:
1. 获取kernel的映像文件名称
    调用IsProcessorFeaturePresent判断PAE是否开启,以确定使用ntoskrnl.exe还是ntkrnlpa.exe。
2. 获取kernel在内存中的基址
    调用NtQuerySystemInformation,使用SystemModuleInformation(0x0B)枚举模块,并使用1中获得的文件名查找,确定kernel在内存中的基址。
3. 拼接kernel的完整路径,使用CreateFile(acces
最低0.47元/天 解锁文章
0902horn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析pdb文件得到导出变量地址(转)
07-31 639
程序要用到dbghelp.dll中的一些函数 http://msdn.microsoft.com/en-us/library/ms679291%28VS.85%29.aspx 要自己下载系统对应的符号文件 首先是一些初始化的东西: 设置符号选项,调用下面两个函数 DWORD Options = SymGetOptions(); Options = Options|SY...
利用pdb获取导出符号
07-31 216
BOOL InitSymHandler(HANDLE hProc) { CHAR SymPath[MAX_PATH], CurDir[MAX_PATH]; GetCurrentDirectoryA(sizeof(CurDir) / sizeof(CurDir[0]), C...
解析PDB中的函数名对应的地址
qq_41490873的博客
01-06 757
#include <Windows.h> #include<stdio.h> #include <imagehlp.h> #include <locale.h> #pragma comment(lib,"DbgHelp.lib") BOOL CALLBACK CallBackProc(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext) { printf("函数名: %s\r\n地址: %0
获取导出的内核函数地址
09-10 2063
使用导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
易语言-WonderWall Plus支持库,支持全局变量的内联汇编
06-28
+加入内联支持全局变量(单行) +模块快捷添加 +DLL编译,导出函数支持nake处理(在源文件目录下新建一个和源文件同名+_nake.ini 的文件,内容是需要处理的函数名称) *改变调用内联汇编模块Fasm方式,方便更新Fasm.dll...
WonderWall Plus支持库,支持全局变量的内联汇编-易语言
06-13
+加入内联支持全局变量(单行)+模块快捷添加+DLL编译,导出函数支持nake处理(在源文件目录下新建一个和源文件同名+_nake.ini 的文件,内容是需要处理的函数名称)*改变调用内联汇编模块Fasm方式,方便更新Fasm.dll随时...
PE文件解析指南
12-08
- 数字签名:确保PE文件被篡改,提供来源验证。 - 病毒扫描:由于PE文件的结构允许附加数据,它们经常成为病毒和恶意软件的载体。因此,理解PE文件有助于安全分析和防御。 学习PE文件解析,不仅可以帮助你更好...
dll分析工具symview
11-01
1. **符号查看**:展示DLL中的所有符号,包括函数全局变量、常量等,并显示它们的地址、大小和类型。 2. **大小分析**:分析每个符号在内存中占用的空间,这对于识别潜在的内存浪费或优化空间使用非常有帮助。 3...
PE-FIle-format.rar_PE file format
09-20
- **调试信息**(.pdb):通常与PE文件分开存储,用于调试程序,包括源代码行号、变量名等。 - **异常处理表**:定义了程序可能发生的异常情况及对应的处理机制。 6. **安全特性** - **数字签名**:用于验证PE...
使用dump和pdb文件定位程序崩溃位置
qq_38416262的博客
06-30 850
用法参考链接: 用dump和pdb文件定位程序崩溃的位置_lemon-l的博客-CSDN博客_dump pdb用到的核心API函数MiniDumpWriteDump详解:( minidump详细介绍_huanongying131的博客-CSDN博客_minidumpTips:1.使用参数MiniDumpWithFullMemory能保存变量的值,但生成的dump会大很多.2.发布exe时,切记保存同版本的pdb文件;或一起发布,客户回传时将exe,pdb,dump一起回传.3.将dump,pdb放入生成ex
PDB文件解析总结
kuangben2000的博客
02-11 4232
2019-11-29Windows约 5269 字 预计阅读 11 分钟 773 次阅读通过上面的几个例子可以看到使用DIA SDK解析pdb文件还是有点复杂的,关键是要理清要获取的数据属于哪种类型以及数据相关信息是怎样与数据符号相关联的,这点还是要参考DIA SDK中Sample程序的代码。文章作者 任意上次更新 2019-11-29nullWindows。
C++学习(一一七)pdb文件
hankern的专栏
07-04 1206
符号文件(Symbol Files)是一个数据信息文件,它包含了应用程序二进制文件(比如:EXE、DLL等)调试信息。 在 Windows 系统中,符号文件以 .pdb 为扩展名。 一般情况下,符号文件包括以下的数据信息: 1、全局变量(Global variables); 2、局部变量(Local variables); 3、函数名和它们的入口地址(Function names and the addresses of their entry points); 4、FPO 数据(Frame Pointe
PDB文件详解
weixin_30802171的博客
01-08 4282
PDB文件的介绍 PDB(Program Data Base),意即程序的基本数据,是VS编译链接时生成的文件。DPB文件主要存储了VS调试程序时所需要的基本信息,主要包括源文件名、变量名、函数名、FPO(帧指针)、对应的行号等等。因为存储的是调试信息,所以一般情况下PDB文件是在Debug模式下才会生成。 PDB文件的调用过程 模块(Module),EXE和DLL...
warning LNK4099 找到 PDB“vc90.pdb”……
Nicole的成长
05-25 4997
帖子链接: http://topic.csdn.net/u/20070604/11/7dfb11ac-768f-4049-b75e-8dc572e77c9d.html 警告: Linking with DDK linker... libcid.lib(streamb.obj) : warning LNK4099: PDB 'libcid.pdb' was not found with 'D:/Program Files/WINDDK/2600/lib/wxp/i386/libcid.lib' or
显示EXE,DLL或PDB文件中指定函数的Parameter和local variables信息
eaglenet的专栏
03-04 2183
源码例子:显示EXE,DLL或PDB文件中指定函数的Parameter和local variables信息        上次写了列出EXE,DLL或PDB文件中的符号信息,这次再贴一段代码。举例说明如何列举一指定函数的局部信息,即函数的参数和局部变量信息。呵呵,本人即不爱说废话,又怕打字太累。^_^,开门见山,来看下面代码吧。Enjoy!//=====================
偶识PDB文件
wnx_hh的博客
05-25 258
作为一名小白,我也是在遇到问题的时候才了解到了PDB文件。就是在一次重装系统后,我执行代码的时候出错了,告诉我无法打开PDB文件。 最后发现了是在编译的时候,程序所依赖的动态链接库也会被编译,编译过程中每个 dll 都会产生一个pdb文件,又称为“符号文件”,是一个存储数据的信息文件,其包含 dll 库在编译过程的某些调试信息,例如程序中所用到的全局变量、局部变量、函数名以及他们的入口地址等动态库无法找到PDB文件。所以就出现找不到PDB文件的问题。最后我通过在网上寻求帮助,找了 打开VS2013,点击菜
PDB 文件
热门推荐
Iron 的博客
04-22 1万+
PDB 文件 什么是 PDB 文件 PDB (Program Data Base) 即程序的基本数据,是 VS 编译链接时生成的文件,每个程序集(EXE 或 DLL)都有一个与之对应的 PDB 文件。DPB 文件主要存储了 VS 调试程序时所需要的基本信息,主要包括源文件名、变量名、函数名、对应的行号等等。因为存储的是调试信息,所以一般情况下 PDB 文件是在 Debug 模式下才会生成。...
通过符号文件获取函数地址
125096
06-27 3438
//通过符号文件获取函数地址 #include #include #include #include #include "ntdll.h" #pragma comment(lib,"dbghelp.lib") //获取函数地址PDB ULONG_PTR GetFunctionAddressPDB(HMODULE hMod, const WCHAR * szApiName) {
pdb文件中怎么下载坐标信息
最新发布
06-10
要下载PDB文件中的坐标信息,你可以使用一些常见的生物信息学软件,如BioPython或PyMOL等。这些软件提供了Python API,可以通过编写Python脚本来解析PDB文件并提取坐标信息。 以下是使用BioPython库获取PDB文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值