windbg获取函数指针

已于 2024-01-08 20:14:59 修改
阅读量660 收藏 9
点赞数 9
CC 4.0 BY-SA版权
文章标签: windbg调试函数地址
于 2024-01-05 09:59:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HeroRazor/article/details/135401637
文章详细描述了如何在Windows系统中使用FindWindowW和FindWindowExW函数,通过动态链接库和windbg调试工具追踪函数指针,以及在不同环境下查找并使用私有函数如Query_PrivateExW的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先写一个demo,查看FindWindowW FindWindowExW的函数指针
HMODULE hModule = LoadLibrary(L"user32.dll");
	if (hModule != NULL)
	{		
		while (true)
		{			
			FUN_FindWindowW FindWindowWFunc = (FUN_FindWindowW)GetProcAddress(hModule, "FindWindowW");
			if (FindWindowWFunc != NULL)
			{
				printf("FindWindowW 函数指针地址:%p\r\n", FindWindowWFunc);
				HWND hWnd = FindWindowWFunc(L"123", NULL);
			}
			FUN_FindWindowExW FindWindowExWFunc = (FUN_FindWindowExW)GetProcAddress(hModule, "FindWindowExW");
			if (FindWindowExWFunc != NULL)
			{
				printf("FindWindowExW 函数指针地址:%p\r\n", FindWindowExWFunc);
				HWND hWnd = FindWindowExWFunc(NULL,NULL, L"DingtalkMsgComming", NULL);
				int  n = (BYTE*)FindWindowExWFunc - (BYTE*)FindWindowWFunc;
				printf("指针偏移:%d 0X%X\r\n",n,n);

				FUN_FindWindowExW TextFun = (FUN_FindWindowExW)((BYTE*)FindWindowWFunc + n);
				printf("TextFun 函数指针地址:%p\r\n", TextFun);
				hWnd = TextFun(NULL, NULL, L"DingtalkMsgComming", NULL);
				int wjr = 0;

			}
			Sleep(5000);
		}
		FreeLibrary(hModule);
	}

windbg调试该程序 设置断点

bu USER32!FindWindowW

可以看到函数指针地址和打印出来的都一样的 都是**68483650

当函数命中时,地址也一致

按F8(t)一直往下走,耐心走

最低0.47元/天 解锁文章

200万优质内容无限畅学
使用Windbg进行高级函数调试和堆栈跟踪
zhouKouUU的博客
09-20 401
通常我们使用Visual Studio等集成开发环境(IDE)来进行调试,但有时IDE提供的调试功能可能无法满足我们的需求。在这种情况下,可以借助于Windbg工具来进行高级函数调试和堆栈跟踪。在使用Windbg之前,需要设置符号路径。符号文件包含了函数名和行号的信息,可以帮助我们更好地理解调试过程。该命令将在每次调用指定函数时暂停执行,并显示函数调用的地址函数名和源文件行号。命令外,Windbg还提供了其他一些用于查看堆栈信息的命令,例如。接下来,我们将使用Windbg调试该程序并查看函数调用堆栈。
使用Windbg分析dump文件定位软件异常的方法与操作步骤
最新发布
dvlinker的技术专栏
03-04 4万+
本文详细讲述了使用Windbg分析dump文件的一般步骤与诸多细节,并给出了一个实战分析实例,有一定的实战参考价值。
windbg - 查看函数地址
tuan8888888的博客
02-08 3049
有时候需要查看函数地址,官方地址https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/x--examine-symbols- 示例:x /D /f lec_teacher!c* 以下命令将查找 MyModule 中包含字符串 "spin" 的所有符号。 0:000> x mymodule!*spin* 以下命令快速查找 MyModule 中的 "DownloadMinor" 和 "Downloa..
windebug使用知识汇集
renwotao2009的专栏
12-16 2839
1 Windebug调试没有符号文件,怎么显示函数名? 调试的程序里那些API函数都是这种显示 call imge 0x00404422 这个地址 0x00405522的函数名什么? 解决方法: 0:000> dds poi(00405798+2) l1 0051b710  7e42974e user32!GetCursorPos 命令原理: call    WINCMD32+0x
WinDbg查看函数内存地址
心之所向,身之所往
12-23 6308
方法一、ln getcharBuffer (00401030)   WinDbgTest!getcharBuffer   |  (0040103a)   WinDbgTest!changeto4p 方法二、x WinDbgTest!getcharBuffer 方法三、u WinDbgTest!getcharBuffer WinDbgTest!getcharBuffer [F:\
利用windbg分析崩溃,句柄泄漏,死锁,CPU高,内存泄漏
zqw_4181的博客
01-25 6316
Windbg的一些简单使用命令 一、崩溃 1、  输入.ecxr;kbn得到崩溃的堆栈 其中源代码如下 2、  查看堆栈和源代码,发现第0帧导致崩溃,代码也是本地代码 输入.frame  0,切到第0帧如下 3、  输入 dv 查看当前帧的一些变量信息          发现变量p =0x00000000 二、句柄泄漏 1、  启动进程 2、  用windbg附加到
Windbg查看函数调用过程中的内存布局
cwei231的博客
04-07 764
我们在分析问题的时候经常会需要查看进程的栈和帧中的值,下面我们就用一个简单的例子来分析一下这个过程。
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
Windbg使用详解
dvlinker的技术专栏
10-07 3万+
本文详细介绍了Windows调试工具Windbg的安装与使用,并给出多个实战问题分析实例。
利用windbg查看派生类虚拟函数指针
sunliangyuan的专栏
09-12 2675
#include #include #include using namespace std; interface IX { public: virtual void Fx1() = 0; virtual void Fx2() = 0; }; interface IY { public: virtual void Fy1() = 0; virtual
windbg找到一个虚拟地址的物理地址.doc
07-31
windbg找到一个虚拟地址的物理地址.doc
WinDBG_x64
12-21
Windbg64是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 9万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
Windbg介绍
u010607621的博客
06-15 1万+
1. 介绍 1.1. 相关网站 微软网站 社区网站 调试分享 1.2. 下载 对于Win10,推荐使用微软商店下载windbg preview版本。其它的os,可以下载windows sdk,在安装选项中选择windbg。 preview版本皆可调试32,64位进程和内核。传统版本分为32和64两个版本,但优势在小巧便携。 1.3. 符号配置 微软的动态库,exe等,微软一般会公开pdb文件的下载,windbg经过配置后,会自动下载,从而利于解析程序的数据结构。 简易的方法是配置环境变量_NT_SYMBOL
从0开始的WinAPI学习(2)——常用的字符串处理函数
noobxiaomeng的博客
04-22 1764
认识一下以后可能用到的字符串处理函数
windbg使用教程(调试异常及死锁等)
哈市雪花的博客
12-09 2万+
1.背景 最近由于线上的程序发生了死锁,而且重现的概率很低,正好客户反馈一个任务超时了,登上线上环境发现有一个“僵尸”进程,占用内存不波动,cpu仍在占用, 那么用创建转储文件,用windbg调试吧。 2.准备 2.1.下载windbg 需要下载Windows 调试工具 (WinDbg):Windows 10 SDK,安装时候根据需要,可以只安装Debugging Tools For Windows,即windbg; 如果已下载并安装Windows 10 SDK,而没有安装Windbg,那么在控
[调试]_[初级]_[Windbg使用教程]
小白
11-28 1万+
windbg使用教程
WINDGB环境配置
RokrJyy的博客
01-20 595
解决Windows 7下编写驱动时DbgPrint / KDPrint不能打印的问题        造成这个问题的原因主要是因为Windows 7为了避免不必要的系统开销而默认关闭了调试信息过滤,因此导致我们无法正常打印调试字符串。开启的方法非常简单,我们只需要操作注册表就可以建立一个调试打印过滤器,将以下内容保存为*.reg文件后,双击执行后即可完成设置工作。 Windows Re
WinDgb命令 持续更新
zhuhuibeishadiao
03-31 1846
附看雪某人整理的WinDbg参考手册 v0.6(链接自搜) 链接: http://pan.baidu.com/s/1skM5I49 密码: 7bn9 1.线程 2.断点 3.查看 d系列 4.指针查看 dd系列 5.反汇编 6.栈 7.修改 8.进线程命令 一:调试开始 File->Open Executable 打开一个进程进行调试 File->Attach
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值