2

PyKD 中,我可以像这样获取可执行文件的进程名称:

0:017> !py
...
>>> getProcessExeName()
u'C:\\Windows\\SysWOW64\\rundll32.exe'

我可以得到模块信息

>>> print module("rundll32")
Module: rundll32
Start: 7f0000 End: 7fe000 Size: e000
Image: C:\Windows\SysWOW64\rundll32.exe
Symbols: e:\debug\symbols\rundll32.pdb\EFAE0C870C2846EDB63B9A7274CD50422\rundll32.pdb
Timestamp: 4a5bc637
Check Sum: 11cf2

如何从进程名称转换为模块名称?

它不像提取文件名那么简单,因为带有特殊字符的文件名,如Notepad++.exe转换notepad__为模块名。

背景:我想自动化转储分析,首先我检查它是否是我的程序,其次我想检查我需要模块信息的崩溃程序的版本。我想让它更通用一点,并考虑用户重命名可执行文件的情况。

版本(如果重要):PyKD 0.3.0.25、32 位、WinDbg 6.2.9200、Python 2.7.8

4

1 回答 1

2

你的问题实际上比你描述的更阴险。我已经看到使用它们的短(MSDOS 兼容)名称加载的模块在哪里被破坏得更多。

我能想出的唯一办法是回答你的问题。如果您假设占用最低地址空间的模块是可执行文件的模块,那么您可以使用lmwith 1mflag 列出所有模块但只使用第一个。

这意味着您可以执行以下操作:

0:001> !py c:\test.py
Module: notepad__
Start: 10000 End: 21c000 Size: 20c000
Image: C:\Program Files (x86)\Notepad++\notepad++.exe
Symbols: export symbols
Timestamp: 55ad8d3e
Check Sum: 0

在哪里test.py

from pykd import *

exeModuleName = dbgCommand("lm1m").split('\n')[0]
exeModule = module(exeModuleName)
print exeModule

这仍然依赖于一个假设。虽然,我观察到所有版本的 Windows 回到 NT 4.0 都是如此,但情况可能并非总是如此。例如,如果地址空间布局随机化 ( ASLR ) 完全打破了与启用它相关联的任何进程的这一假设,我一点也不感到惊讶。

编辑:

一个更安全的方法是查看PEBfor ImageBaseAddress。这是基本模块的模块起始地址。您可以从基地址构造一个 pykdmodule类型,如下所示:

from pykd import *

peb = typedVar("ntdll!_PEB", getProcessOffset())
exeModule = module(peb.ImageBaseAddress)
print exeModule

如果结构发生变化,这应该更可靠地工作,并且更容易失败_PEB

于 2015-08-24T23:21:13.190 回答