《Advanced .NET Debugging》 读书笔记 Listing 2-2: 找到托管程序02simple的入口点
2010-12-22 00:35
447 查看
1. 使用Dumpbin.exe找到RVA entry point:
2. 在Windbg内找到其开始地址:
可见其实入口点地址对应的语句为一个jmp命令。
3. 在dumpbin.exe的导出文件内直接找到40246e对应的内容:
其中FF 25 00 20 40反汇编之后,内容为Jmp 402000。注意这是小端存储方法。
4. 找到402000:
可见其是导入了mscoree.dll,执行了方法_CorExeMain函数,从而确定了CLR版本,并且使用JIT产生了托管代码的Main()函数的机器码等,程序开始执行。
2. 在Windbg内找到其开始地址:
可见其实入口点地址对应的语句为一个jmp命令。
3. 在dumpbin.exe的导出文件内直接找到40246e对应的内容:
其中FF 25 00 20 40反汇编之后,内容为Jmp 402000。注意这是小端存储方法。
4. 找到402000:
可见其是导入了mscoree.dll,执行了方法_CorExeMain函数,从而确定了CLR版本,并且使用JIT产生了托管代码的Main()函数的机器码等,程序开始执行。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 《Advanced .NET Debugging》 读书笔记 Listing 2-1: 找到notepad.exe的入口点
- 《Advanced .NET Debugging》 读书笔记 Listing 3-4/3-5: 为breakpoint.exe程序的AddAndPrint方法加上breakpoint
- 《Advanced .NET Debugging》 读书笔记 Listing 4-4: 调试Assembly加载失败的程序
- 《Advanced .NET Debugging》 读书笔记 Listing 3-6: 使用sxe在程序载入mscorwks之后停下来载入sos
- 《Advanced .NET Debugging》 读书笔记 Listing 3-2: 如何查看程序的PID
- 《Advanced .NET Debugging》 读书笔记 Listing 3-8/3-9: 为托管代码设置断点的过程
- 《Advanced .NET Debugging》 读书笔记 Listing 3-3: 使用debugger调试一个已经在运行的程序
- 《Advanced .NET Debugging》 读书笔记 Listing 3-10到3-14: 得到程序中各对象的内容
- 《Advanced .NET Debugging》 读书笔记 Listing 2-5/2-6: 使用debugger找到value type和reference type
- 《Advanced .NET Debugging》 读书笔记 Listing 3-16: 显示托管代码的Call Stack
- 《Advanced .NET Debugging》 读书笔记 Listing 4-1/2/3: 调试 FileNotFoundException
- 《Advanced .NET Debugging》 读书笔记 Listing 5-6: Pining的简单示例
- 《Advanced .NET Debugging》 读书笔记 Listing 6-4: Deadlock的简单示例
- 《Advanced .NET Debugging》 读书笔记 Listing 5-3: Object的Roots的示例
- 《Advanced .NET Debugging》 读书笔记 Listing 6-6: Orphaned locks的简单示例
- 《Advanced .NET Debugging》 读书笔记 Listing 3-1: 调试器的使用
- 《Advanced .NET Debugging》 读书笔记 Listing 6-8: Orphaned lock的示例
- 《Advanced .NET Debugging》 读书笔记 Listing 5-2: GC代龄的示例
- 《Advanced .NET Debugging》 读书笔记 Listing 3-7: 为notepad设置断点的过程
- 《Advanced .NET Debugging》 读书笔记 Listing 2-7: 使用debugger查看对象的syncblk的数据