【发布时间】:2013-03-15 06:17:29
【问题描述】:
我可以使用disas functionname 命令在gdb 中找到函数的起始地址。
如何使用 WinDBG 做同样的事情?
【问题讨论】:
标签: reverse-engineering windbg disassembly
【发布时间】:2013-03-15 06:17:29
【问题描述】:
x 命令显示与指定模式x [Options] Module!Symbol 匹配的所有上下文中的符号。
uf 命令显示内存中指定函数uf [Options] Address
的汇编翻译。
0:000> x handle!main*
00000000`00d17154 handle!mainret = 0n0
00000000`00d113f0 handle!main (int, char **)
00000000`00d11840 handle!mainCRTStartup (void)
0:000> uf main
handle!main [d:\documents\visual studio 2010\projects\handle\handle\main.cpp @ 27]:
27 00000000`00d113f0 55 push rbp
27 00000000`00d113f1 8bec mov ebp,esp
27 00000000`00d113f3 81ece8000000 sub esp,0E8h
27 00000000`00d113f9 53 push rbx
27 00000000`00d113fa 56 push rsi
或者简单地使用函数中的任何地址
0:000> uf 00d11465
handle!main [d:\documents\visual studio 2010\projects\handle\handle\main.cpp @ 27]:
27 00000000`00d113f0 55 push rbp
27 00000000`00d113f1 8bec mov ebp,esp
27 00000000`00d113f3 81ece8000000 sub esp,0E8h
27 00000000`00d113f9 53 push rbx
27 00000000`00d113fa 56 push rsi
27 00000000`00d113fb 57 push rdi
【讨论】: