我正在尝试使用 WinDBG 检查可执行文件的程序集,但我很难找到它。我想在程序的第一条指令处设置断点,但是当我尝试手动执行此操作(使用模块的地址)时,WinDBG 告诉我它“无法在该位置插入断点”,因为“对内存位置的访问无效。”
我注意到,当我通过源代码 GUI 创建断点时,地址与模块的第一部分不同(在我的示例中:“Win32FileOpen”,我编写的一个简单程序。)是否有某种标题这需要在我的模块地址上添加一个偏移量?
在另一个 问题中,我看到了建议:“我会尝试将断点地址计算为:模块开始 + 代码开始 + 代码偏移”,但不确定从哪里获得这些值。有人可以详细说明一下吗?
我不只是使用源 GUI 的原因是我希望能够使用我可能没有源/符号的程序来执行此操作。
如果有更简单的方法可以立即开始使用我打开的可执行文件,请告诉我。(例如,打开一个 .exe Olly 会立即向我显示该 .exe 的程序集,搜索引用的字符串会为我提供该模块的结果等。WinDBG 似乎在 ntdll.dll 中让我开始,这对我来说通常没有用处。)
0:000> lm
start end module name
00000000`00130000 00000000`0014b000 Win32FileOpen C (private pdb symbols) C:\cfinley\code\Win32FileOpen\Debug\Win32FileOpen.pdb
00000000`73bd0000 00000000`73c2c000 wow64win (deferred)
00000000`73c30000 00000000`73c6f000 wow64 (deferred)
00000000`74fe0000 00000000`74fe8000 wow64cpu (deferred)
00000000`77750000 00000000`778f9000 ntdll (pdb symbols) c:\symbols\mssymbols\ntdll.pdb\15EB43E23B12409C84E3CC7635BAF5A32\ntdll.pdb
00000000`77930000 00000000`77ab0000 ntdll32 (deferred)
0:000> bu 00000000`00130000
0:000> bl
0 e x86 00000000`001413a0 0001 (0001) 0:**** Win32FileOpen!main <-- One that is generated via GUI
1 e x86 00000000`00130000 0001 (0001) 0:**** Win32FileOpen!__ImageBase <-- One I tried to set manually
0:000> g
Unable to insert breakpoint 1 at 00000000`00130000, Win32 error 0n998
"Invalid access to memory location."
bp1 at 00000000`00130000 failed
WaitForEvent failed
ntdll!LdrpDoDebuggerBreak+0x31:
00000000`777fcb61 eb00 jmp ntdll!LdrpDoDebuggerBreak+0x33 (00000000`777fcb63)