如何查看dll输出函数的参数?
我知道通过“dumpbin-exports”可以查看dll的输出函数,但是我怎么知道这些函数的参数呢?一楼的,既然能查看出函数为啥无法看参数呢?...
我知道通过“dumpbin -exports”可以查看dll的输出函数,但是我怎么知道这些函数的参数呢?
一楼的,既然能查看出函数为啥无法看参数呢? 展开
一楼的,既然能查看出函数为啥无法看参数呢? 展开
展开全部
查看dll输出函数的参数:
1、先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。
2、看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
3、然后往下找到该函数的出口,一般函数出口有以下语句。
ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08 //第一个参数
ebp+0C //第二个参数
ebp+10 //第三个参数
ebp+14 //第四个参数
ebp+18 //第五个参数
ebp+1C //第六个参数
。。。。
-------------------------------------------
还有一种经常看到的调用方式:
sub esp,xxxx //开头部分
//函数的内容
。。。
//函数的内容
add esp,xxxx
ret //结尾部分
其中xxxx/4的结果也是参数的个数。
-------------------------------------------------
还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
。。。
esp+xx就是第xx/4个参数
说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。
----------------------------------------------
到现在位置,应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令。来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
1、先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。
2、看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
3、然后往下找到该函数的出口,一般函数出口有以下语句。
ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08 //第一个参数
ebp+0C //第二个参数
ebp+10 //第三个参数
ebp+14 //第四个参数
ebp+18 //第五个参数
ebp+1C //第六个参数
。。。。
-------------------------------------------
还有一种经常看到的调用方式:
sub esp,xxxx //开头部分
//函数的内容
。。。
//函数的内容
add esp,xxxx
ret //结尾部分
其中xxxx/4的结果也是参数的个数。
-------------------------------------------------
还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
。。。
esp+xx就是第xx/4个参数
说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。
----------------------------------------------
到现在位置,应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令。来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
只有dll的话除了分析代码没有其他方法。
因为dll里压根就没有参数表... 谁没事会存用不着的东西
因为dll里压根就没有参数表... 谁没事会存用不着的东西
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
用PUBLIC声明 不行吗?
我记得我做的就可以啊..
是不是编译时少了参数出问题了
我记得我做的就可以啊..
是不是编译时少了参数出问题了
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
