4

我有一个客户的小型转储。我想找出加载的 .NET dll 的程序集版本。我已经在互联网上搜索了几个小时,但找不到可用的方法。我有 windbg 并加载了 SOS 扩展,并具有所需的 clr.dll 和 mscordacwks。

usinglm -v仅显示非托管 dll。我确信我忽略了一些非常简单的事情。

4

2 回答 2

8

WinDbglm v显示所有 DLL,托管和非托管。在那个层面上,程序集只是一个 DLL,只是一个模块。

使用 WinDbg 6.3.9600,lm v甚至显示模块是否具有 CLR 标头的信息:

0:008> lmv m MyApp
start    end        module name
10310000 10574000   MyApp(deferred)             
    Image path: C:\...\MyApp.exe
    Image name: MyApp.exe
    Has CLR image header, track-debug-data flag not set
    Timestamp:        Wed May 21 16:34:02 2014 (537CB95A)
...
    ProductVersion:   1.8.0.44
    FileVersion:      1.8.0.44
...

但是,FileVersion 和 ProductVersion 仍然是编译到 DLL 的本机资源部分的非托管信息。

我建议您使用!SaveModule <start address> <filename>将文件保存在磁盘上,然后使用dotPeek之类的反射工具打开它并从那里获取程序集信息,这将为您提供名称、版本、文化和公钥令牌。

为了保存所有模块,Naveen编写了如下脚本

!for_each_module .if ($spat ("${@#ImageName}","*.exe")) { !SaveModule ${@#Base} c:\temp\${@#ModuleName}.exe } .else { !SaveModule ${@#Base} c:\temp\${@#ModuleName}.dll }
于 2014-07-09T07:56:50.763 回答
8

好吧,经过更多研究后,我得出的结论是,小型转储中的那些 dll 无法获得此类信息。无论如何,我至少能够获得有关文件的更多信息,也许这对将来的其他人有用。

您至少可以获得 dll 的元信息,也许您可​​以在其中找到有用的东西。以下是如何做到这一点:

首先获取域:

!dumpdomain

您最终可能会得到大量列出的程序集。现在您可以使用以下方法手动查找它们:

!dumpassembly ADDRESS

或者你可以使用懒惰的方式:安装windbg的python扩展(http://pykd.codeplex.com/)并使用以下脚本快速浏览(它可能不是最好的脚本,但它正在工作,我没有不想投入更多时间):

import pykd

def dump_assemblies():
    assemblies = 0

    addrs = pykd.dbgCommand("!dumpdomain").splitlines()
    for x in addrs:
        if x[:8] == "Assembly":
            assemblies = assemblies + 1
            print "### retrieving assembly " + x[-8:]
            print pykd.dbgCommand("!dumpassembly " + x[-8:])
    print "### found " + str(assemblies) + " assemblies."

dump_assemblies()

您现在可以对 dll 进行文本搜索 (CTRL + F)。找到它后,您可以在模块名称旁边找到偏移量(类似于 12327C8 C:\Program Files\MyApp\MyDLL.dll)。

您现在可以使用以下方法转储模块:

!dumpmodule 12327C8

这将引导您:

Name:       C:\Program Files\MyApp\MyDLL.dll
Attributes: PEFile 
Assembly:   131a22e2
LoaderHeap:              00000000
TypeDefToMethodTableMap: 19220010
TypeRefToMethodTableMap: 134303e0
MethodDefToDescMap:      13430740
FieldDefToDescMap:       13433964
MemberRefToDescMap:      134350c8
FileReferencesMap:       13435918
AssemblyReferencesMap:   1343591c
MetaData start address:  1c1aaa4c (4248 bytes)

现在您可以简单地检查 dll 的元数据:

dc 1c1aaa4c 1c1aaa4c + 4248

这是我可以获得的关于 DLL 的更多信息的最接近的信息。不幸的是,文件版本没有写在那里,只是一些其他更通用的信息。无论如何,我会尝试再次与客户取得联系。无论如何,感谢您的回答。

于 2013-10-08T10:37:22.867 回答