windbg 之 如何定位进程入口点地址

载入HelloWorld.exe之后我们看看加载了哪些模块:

windbg 之 如何定位进程入口点地址

查看一下堆栈:

windbg 之 如何定位进程入口点地址

都是ntdll中的函数,我们想要运行到HelloWorld.exe的main函数中停下。

这么办:

使用!dh命令。

帮助文档中给出!dh的解释如下:

The !dh extension displays the headers for the specified image.

windbg 之 如何定位进程入口点地址

Parameters

Options

Any one of the following options:

-f

Displays file headers.

-s

Displays section headers.

-a

Displays all header information.

Address

Specifies the hexadecimal address of the image.

执行命令:

windbg 之 如何定位进程入口点地址

可以看到入口点地址为112C6,这个是RVA,即相对虚拟地址。什么是相对虚拟地址呢?我们往下看。

我们使用lm命令查看到start下的地址,就是HelloWorld.exe模块加载到内存之后的一个虚拟地址的起始位置,之所以称之为虚拟地址,就是因为它是在4G内存(32位)中的一个相对位置。

这里是0x1180000:

windbg 之 如何定位进程入口点地址

而相对虚拟地址就是相对于1180000的位置再偏移112C6,即112C6+1180000 = 11912C6,得到的就是入口点的虚拟地址。再不明白就如下图所示:

windbg 之 如何定位进程入口点地址

这时我们得到入口点的地址为11912C6,下断点:

windbg 之 如何定位进程入口点地址

运行,命中0号断点:

windbg 之 如何定位进程入口点地址

此时Disassembly窗口显示如下:

windbg 之 如何定位进程入口点地址

再单步运行一步就跳到了main:

windbg 之 如何定位进程入口点地址

对应的Disassembly窗口显示如下:

windbg 之 如何定位进程入口点地址

顺便提一下:

push ebp

mov ebp,esp

是典型的进入一个函数的头两个指令。他们的作用是将上一个函数的基址先进栈,而后将当前esp所指位置设为当前函数的基址。

这里的”___security_init_cookie“是设置一个security cookie,防止堆栈溢出,以后可以跟进这个call,查看具体实现的细节,相关内容可以参考:

http://blog.sina.com.cn/s/blog_4e0987310101ie77.html

跟入

__tmainCRTStartu

可以看到该main函数中具体细节。

windbg 之 如何定位进程入口点地址

上一篇:【Linux杂记】Linux配置静态IP地址,修改主机名、host


下一篇:This application is modifying the autolayout engine from a background thread, which can lead to engine corruption and weird crashes. This will cause an exception in a future release.