需要脚本来分析进程转储文件(windows)

逆向工程 视窗 倾倒
2021-06-17 23:29:38

我有一个用 C++ 编写的程序,它是用 Visual Studio 编译的。

我有一个正在运行的进程的小型转储文件(进程使用 winapi MiniDumpWriteDump 函数生成它)。

我也有几个内存地址——它们应该对应于我的 C++ 函数/方法的地址。

我还有 *.pdb 文件 - 在我的程序编译期间由 Visual Studio 生成的调试信息。

现在我需要找出与地址对应的函数。

问题 1:我有足够的数据吗?minidump、*.pdb 文件和地址是否足以找出函数名称(以及它在源代码中的位置)?

问题 2:我需要自动化这个过程。我将不得不编写一个脚本(希望它是一个 python 脚本)来完成这项工作。谁能推荐合适的python工具?

(最初我在 stackoverflow 上发布了这个问题,但看起来它更适合这里)

1个回答

如果你真的想自己完成整个事情,你需要使用Debugger Engine APIs,特别是OpenDumpFile和朋友们如果您只需要自动化它但对自己编程没有特殊要求,我建议只使用带有一些脚本(可能是 PyKd 框架)的windbg。

其它你可能感兴趣的问题
上一篇从 /dev/block/mmcblk0boot0 查找基址 U-boot Android 映像 下一篇IDA,如何显示对立即值的ascii评论?