Windbg如何从调用地址获得函数调用名

0:000> dds poi(00405798+2) l1
0051b710  7e42974e user32!GetCursorPos

命令的原理是这样的。以下面这条指令为例：

call    WINCMD32+0x1a908 (0041a908)

CALL指令调用的地址0041a908处通常是一条跳转指令:

00405798 ff2510b75100    jmp     dword ptr [WINCMD32+0x11b710 (0051b710)] ds:0023:0051b710={user32!GetCursorPos (7e42974e)}
0040579e 8bc0            mov     eax,eax

这条跳转指令的目的其实就是跳转到IAT表中对应API表项所保存的API入口。注意上面的机器码ff2510b75100，前两个字节ff25是操作码，后四个字节10b75100是操作数，其实就是间接跳转时取最终目标的地方，转换成DWORD就是0051b710。

使用!dh命令可以找到IAT表的位置：

0:000> !dh 00400000

...

  11B000 [    2A20] address [size] of Import Directory

...

也就是说IATA表的偏移是11B000，长度是2A20，上面的地址0051b710就是在这个范围内：

0:000> ?? 0x0051b710-(0x400000+0x11B000) < 0x2a20
bool true

也可以直接dds这个表，来了解导入了哪些API......

当然也可以对IAT表设断点，调用时停下来 :-)

知识普及：

http://blog.sina.com.cn/s/blog_4d2bfe580100096z.html