ARMv4I 프로세서에서 실행중인 Winodws Mobile 6.1 응용 프로그램이 있습니다. 스택 주소가 주어지면 (예외를 푸는 것에서), 나는 그 모듈이 어떤 모듈을 소유하고 있는지를 알고 싶어한다. 난 항상 주소와 일치하는 모듈을 찾을 수하지 않는 것,스택 주소로 모듈 찾기
HANDLE snapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE | TH32CS_GETALLMODS, 0);
if(INVALID_HANDLE_VALUE != snapshot)
{
MODULEENTRY32 mod = { 0 };
mod.dwSize = sizeof(mod);
if(::Module32First(snapshot, &mod))
{
do {
if(stack_address > (DWORD)mod.modBaseAddr &&
stack_address < (DWORD)(mod.modBaseAddr + mod.modBaseSize))
{
// Found the module!
// offset = stack_address - mod.modBaseAddr
break;
}
} while(::Module32Next(snapshot, &mod));
}
::CloseToolhelp32Snapshot(snapshot);
}
// if it's still not found
snapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS | TH32CS_SNAPNOHEAPS, 0);
if(INVALID_HANDLE_VALUE != snapshot)
{
PROCESSENTRY32 proc = { 0 };
proc.dwSize = sizeof(proc);
if(::Process32First(snapshot, &proc))
{
do
{
if(stack_address > proc.th32MemoryBase &&
stack_address < (proc.th32MemoryBase + 0x2000000))
{
// Found the executable
// offset = stack_address - proc.th32MemoryBase
break;
}
} while(::Process32Next(snapshot, &proc));
}
::CloseToolhelp32Snapshot(snapshot);
}
을하지만 :
ToolHelpAPI를 사용
, 나는 다음과 같은 방법을 사용하여 대부분의 모듈을 확인할 수 있어요. 예 :stack address module offset
0x03f65bd8 coredll.dll + 0x0001bbd8
0x785cab1c mylib.dll + 0x0002ab1c
0x785ca9e8 mylib.dll + 0x0002a9e8
0x785ca0a0 mylib.dll + 0x0002a0a0
0x785c8144 mylib.dll + 0x00028144
0x3001d95c my.exe + 0x0001d95c
0x3001dd44 my.exe + 0x0001dd44
0x3001db90 my.exe + 0x0001db90
0x03f88030 coredll.dll + 0x0003e030
0x03f8e46c coredll.dll + 0x0004446c
0x801087c4 ???
0x801367b4 ???
0x8010ce78 ???
0x801086dc ???
0x03f8e588 coredll.dll + 0x00044588
0x785a56a4 mylib.dll + 0x000056a4
0x785bdd60 mylib.dll + 0x0001dd60
0x785bbd0c mylib.dll + 0x0001bd0c
0x785bdb38 mylib.dll + 0x0001db38
0x3001db20 my.exe + 0x0001db20
0x3001dc40 my.exe + 0x0001dc40
0x3001a8a4 my.exe + 0x0001a8a4
0x3001a79c my.exe + 0x0001a79c
0x03f67348 coredll.dll + 0x0001d348
누락 된 스택 주소는 어디에서 찾을 수 있습니까? 어떤 제안?
감사합니다, PaulH
편집은 : 비누 상자의 제안 @ 복용, 나는 "있는 My.exe"
예상되는 모듈을 모두 반환하는 함수입니까? 아마도 중요한 것 (예 : 메인 프로그램이나 kernel32 등)이 누락되었습니다 ... 대신 주소 비교가 <=/> =이 아니어야합니까? – SoapBox
@SoapBox - 흥미 롭습니다. 아니, 그렇지 않아. 1 개 항목이 누락되었습니다. 내 응용 프로그램은 .exe에 의해로드되는 DLL입니다. 해당 .exe가 목록에서 누락되었습니다. – PaulH
주소에서 1 개 이상의 라이브러리가 누락되어있는 것으로 보입니다. 아마도 귀하의 답변이 아니 겠지만, 누락 된 부분이있을 수 있습니다. – SoapBox