Windbg: Поиск метода в загруженном модуле

Pavel Kolmakov
Jul 25, 2017 · 1 min read

Когда ты подключился к процессу или открыл дамп, то ты можешь посмотреть на загруженные модули (неуправляемые) через команду lm.

я подключился к iexplore.exe

Если же тебе интересен интерфейс модуля, то ты можешь посмотреть его через команду:

X /f moduleName!*

отрывок

Если ты ищешь интерфейс с именем (например Remove) то пиши следующее:

X /f /v IEXPLORE!*Remove*

нашел парочку

Так можно изучить api, дизассемблированный код или ставить брейкпоинты.
(Вообще команда X отображает данные во всех контекстах : переменные, функций, указатели и т.д.)

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade