我通过SymEnumSymbols从.pdb文件中读取我的主函数的地址,值为 0x0100116e0 ,
BOOL CALLBACK SymEnumSymbolsProc(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext )
{
if( pSymInfo != NULL )
{
// Show the symbol
std::string str = pSymInfo->Name;
if (str.find("main")!=-1)
{
int ss=pSymInfo->Address;
}
}
return TRUE;
}
但VS2008的消息代码中此函数的地址为004116E0
int _tmain( int argc, const TCHAR* argv[] )
{
004116E0 push ebp
004116E1 mov ebp,esp
...
{
然后我尝试通过将2个不同的地址传递给SymGetSymFromAddr64来验证结果,我预期得到相同的函数符号,唯一的区别是PIMAGEHLP_SYMBOL64的地址成员,一个是100116e0而另一个是4116E0。 我还尝试通过microsoft的dbh.exe验证它,命令是
load TestSymbolLookup.pdb
TestsymbolLookup [1000000]:n main
addr : 10116e0
name : main
size : b2c
flags : 0
type : 2
modbase: 1000000
value : 0
reg : 0
scope : SymTagExe<1>
tag : SymTagFunction<5>
index :1
我的主要功能的地址在TestsymbolLookup.exe中是唯一的,但为什么我得到2个不同的答案?
答案 0 :(得分:5)
这些地址是“相同的”,它们不同,因为PDB中的地址是相对虚拟地址,而您使用枚举过程找到的地址已经虚拟化。 PDB将始终使用不能通过变基等模糊的地址。
如果您减去基于的加载地址(或取决于.code部分的开头),您将获得RVA。 This这个问题可能会被证明是有用的。