获取方法的名称使用WinDbg
我已经委托对象的下列转储:获取方法的名称使用WinDbg
Name: MyEventHandler
MethodTable: 132648fc
EEClass: 1319e2b4
Size: 32(0x20) bytes
Fields:
MT Field Offset Type VT Attr Value Name
790fd0f0 40000ff 4 System.Object 0 instance 014037a4 _target
7910ebc8 4000100 8 ...ection.MethodBase 0 instance 00000000 _methodBase
791016bc 4000101 c System.IntPtr 1 instance 2ef38748 _methodPtr
791016bc 4000102 10 System.IntPtr 1 instance 0 _methodPtrAux
790fd0f0 400010c 14 System.Object 0 instance 00000000 _invocationList
791016bc 400010d 18 System.IntPtr 1 instance 0 _invocationCount
我怎样才能得到该方法的名称,由代表指出?
根据我的经验,hakan提供的建议不起作用。这就是我所做的。
输出显示附加的处理程序是_target指向的对象的成员。通过倾销,你会得到它的方法表。
我已经建立了一个类似的例子,来说明:
0:000> !do 02844de4
Name: System.EventHandler
MethodTable: 0067afa4
EEClass: 0052ef88
Size: 32(0x20) bytes
(C:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll)
Fields:
MT Field Offset Type VT Attr Value Name
002e6d58 40000ff 4 System.Object 0 instance 02842d20 _target
0058df70 4000100 8 ...ection.MethodBase 0 instance 00000000 _methodBase
0058743c 4000101 c System.IntPtr 1 instance 2cc060 _methodPtr
0058743c 4000102 10 System.IntPtr 1 instance 0 _methodPtrAux
002e6d58 400010c 14 System.Object 0 instance 00000000 _invocationList
0058743c 400010d 18 System.IntPtr 1 instance 0 _invocationCount
在这种情况下,我将看对象在02842d20。
0:000> !do 02842d20
Name: app.Foo
MethodTable: 002c30bc
EEClass: 002c13d4
Size: 12(0xc) bytes
(C:\workspaces\TestBench\app\bin\x86\Debug\app.exe)
Fields:
None
所以目标类型是app.Foo。让我们转储这种类型的方法。
0:000> !dumpmt -md 002c30bc
EEClass: 002c13d4
Module: 002c2c5c
Name: app.Foo
mdToken: 02000002 (C:\workspaces\TestBench\app\bin\x86\Debug\app.exe)
BaseSize: 0xc
ComponentSize: 0x0
Number of IFaces in IFaceMap: 0
Slots in VTable: 6
--------------------------------------
MethodDesc Table
Entry MethodDesc JIT Name
002ec015 002e6cbc NONE System.Object.ToString()
002ec019 002e6cc4 NONE System.Object.Equals(System.Object)
002ec029 002e6cf4 NONE System.Object.GetHashCode()
005f4930 002e6d1c JIT System.Object.Finalize()
005f8238 002c30b4 JIT app.Foo..ctor()
005f8270 002c30a8 JIT app.Foo.Bar(System.Object, System.EventArgs)
比较MethodDesc表的值与_methodPtr原始值。没有明显的匹配。
_methodPtr指向的一段代码其中或者做一个jmp到函数的地址中的问题或调用一个修复例行程序,所以下一步是对_methodPtr值使用!u命令。如果我们看到一个jmp指令,我们有地址,通过使用!u就可以得到该方法。
如果,另一方面,我们看到了一个call到clr!PrecodeFixupThunk我们可以通过转储内存获得方法描述指向_methodPtr这样
0:000> dd 2cc060
002cc060 7e5d65e8 00005e6e 002c30a8 00000000
002cc070 00000000 00000000 00000000 00000000
002cc080 00000000 00000000 00000000 00000000
我们看到的东西,看起来像一个方法表项作为第三个DWORD。通过比较002c30a8与上面的方法表,我们看到该方法的名称是app.Foo.Bar。
由于这是一个构造的例子,我知道我找到了这种情况下我正在寻找的方法。
实际上,上面的例子显示的可能有点复杂,因为根据事件的实际使用情况不同地使用这些字段。但是,根据我的经验,上述方法将适用于一般的发布者/订阅者场景。
有关实施细节的更多详细信息,请查看共享源CLI的文件comdelegate.cpp。
另一种方法是在_methodPtr反汇编数据。
比方说,我们的事件处理程序是这样的:
MT Field Offset Type VT Attr Value Name
6da484dc 40000ff 4 System.Object 0 instance 02d8ff64 _target
6da4d0ac 4000100 8 ...ection.MethodBase 0 instance 00000000 _methodBase
6da4b188 4000101 c System.IntPtr 1 instance d955840 _methodPtr
让我们来看看d955840
!U d955840
Unmanaged code
08577a50 b884f8a007 mov eax,7A0F884h
08577a55 90 nop
08577a56 e855b4d665 call mscorwks+0x2eb0 (6e2e2eb0)
08577a5b e9ac8de4f7 jmp 003c080c
08577a60 b8d4f9a007 mov eax,7A0F9D4h
08577a65 90 nop
08577a66 e845b4d665 call mscorwks+0x2eb0 (6e2e2eb0)
08577a6b e99c8de4f7 jmp 003c080c
08577a70 00b000eb0cb0 add byte ptr [eax-4FF31500h],dh
08577a76 03eb add ebp,ebx
我们看到了MOV的7A0F884这里拆卸,所以这可能是我们正在寻找的方法用于:
!dumpmd 7A0F884
Method Name: DemoClass.OnDemoEvent(System.Object, System.EventArgs)
Class: 07c079e8
MethodTable: 07c10034
mdToken: 060010ee
Module: 07a0b7ac
IsJitted: no
CodeAddr: ffffffff
宾果!
有不同的方式来获取方法的名称,而不是所有将在
我已经creatd一个LITTEL WinDBG的脚本能够直接从methodPtr值来解决存储的方法,所有情况。你可以阅读更多关于here。
脚本是:
r $t0 = ${$arg1}+5
r $t1 = $t0 + 8*by($t0+2) + 3
r $t2 = 8*by($t0+1)
r $t3 = poi($t1) + $t2
!DumpMD $t3
它储存在一个文件中,并与委派的_methodPtr值执行它像
$$>a< "c:\source\DelegateTest\Resolve.txt" 2ef38748
这应该做的所有平台和.NET的伎俩2.0到.NET 4.5。
您也可以将!DumpMD命令与方法描述符一起使用,而不是手动与方法表进行比较。 – kicsit 2014-07-28 12:59:45
在x64上看起来不好,只是跳转到注册表 – 2016-12-19 11:52:20