我正在编写一个应用程序,可以从系统上的任何用户模式进程捕获 stdout/stderr 和调试消息,并将其打印到控制台。由于程序的性质,无论是 GUI、Windows 服务等,我过去一直在编写程序的情况有几种……;看不到控制台输出,仅仅是因为没有控制台。解决此问题的明显方法是将打印语句更改为调试打印语句,例如 OutputDebugString(),然后附加调试器并查看输出。有时设置调试器并查看所需的输出可能很棘手,尤其是在内核模式调试中。
理想情况下,我正在编写的这个应用程序将允许您指定一个 PID(并最终将处理驱动程序,现在不用担心)——并且无需作为调试器附加到该应用程序,它将显示所有输出到调试器、标准输出或标准错误。
为此,我创建了一个应用程序,它将向系统上的任何进程注入(inject)一个 DLL。从 DLL 中,我将一个蹦床 Hook 插入到 _write() 过程中,以从 cout、cerr、wcout、wcerr、printf 和 fprintf 捕获发往 stdout 和 stderr 的数据。我现在的问题是 _write() 过程的地址在每次运行目标应用程序时都会发生变化。目前我正在 windbg 中运行目标应用程序并执行 x program!_write 来查找地址,对其进行硬编码并测试我的钩子(Hook)。
TLDR
当我运行x program!_write 命令时,Windbg 如何找到_write() 的地址?如何在不带符号的情况下从注入(inject)目标进程的 DLL 中执行相同的操作?
如有任何帮助,我们将不胜感激。我当前进度的源代码可以在这里找到:https://github.com/vix597/StJude
此外,如果有更好的方法从带有注入(inject) DLL 的目标进程重定向 stdout/stderr,我会洗耳恭听。我已经尝试过 freopen 但唯一被重定向的输出是源自注入(inject)的 DLL 本身的输出,而不是 DLL 注入(inject)的应用程序。我在假设我无法控制目标应用程序源代码的情况下工作。我也没有验证 _write() 在没有控制台时被调用。
更新
在问这个问题之前,我的测试程序是用静态库中的 MFC 编译的。使用标准 Windows 库时,Windbg 在 MSVCR120 中找到 _write()。对于那些试图回答这个问题以便更清楚的人来说,这可能会造成一些困惑:
无论目标应用程序中 C++ 运行时的编译方式如何,无论使用的是哪个版本的 C++ 运行时环境,我如何找到 _write() 方法的地址?
我基本上想要这样的东西:
LPVOID fnWrite = GetProcAddress(GetModuleHandle(L"<module_name>"),"_write");
但是,这不起作用。
最佳答案
关于您关于 Windbg 如何做到这一点的问题,它使用 Windows 的调试 API。有了它,你就有办法插入断点等。具体来说,要在程序中使用函数地址,你可以使用dbghelp DLL。 (你需要有 PDB 才能工作)。
但对于您的使用,有一个更简单的解决方案,前提是应用程序将运行时用作 DLL:在该入口点上放置一个 Hook 。看看This page in CodeProject .
关于c++ - 从用户模式 win32 应用程序可靠地找到当前进程的 _write() 函数的地址,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30439247/