使用WinDbg从委托中获取方法名

根据我的经验，hakan提供的建议并不起作用。这是我做的。

输出结果显示附加处理程序是指向_target指向的对象的成员。通过转储，您将获得它的方法表。

我构建了一个类似的示例，以便说明：

0:000> !do 02844de4 
Name: System.EventHandler
MethodTable: 0067afa4
EEClass: 0052ef88
Size: 32(0x20) bytes
 (C:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll)
Fields:
      MT    Field   Offset                 Type VT     Attr    Value Name
002e6d58  40000ff        4        System.Object  0 instance 02842d20 _target
0058df70  4000100        8 ...ection.MethodBase  0 instance 00000000 _methodBase
0058743c  4000101        c        System.IntPtr  1 instance   2cc060 _methodPtr
0058743c  4000102       10        System.IntPtr  1 instance        0 _methodPtrAux
002e6d58  400010c       14        System.Object  0 instance 00000000 _invocationList
0058743c  400010d       18        System.IntPtr  1 instance        0 _invocationCount

在这种情况下，我将查看位于02842d20的对象。

0:000> !do 02842d20 
Name: app.Foo
MethodTable: 002c30bc
EEClass: 002c13d4
Size: 12(0xc) bytes
 (C:\workspaces\TestBench\app\bin\x86\Debug\app.exe)
Fields:
None

所以目标类型是app.Foo。让我们输出此类型的方法。

0:000> !dumpmt -md 002c30bc
EEClass: 002c13d4
Module: 002c2c5c
Name: app.Foo
mdToken: 02000002  (C:\workspaces\TestBench\app\bin\x86\Debug\app.exe)
BaseSize: 0xc
ComponentSize: 0x0
Number of IFaces in IFaceMap: 0
Slots in VTable: 6
--------------------------------------
MethodDesc Table
   Entry MethodDesc      JIT Name
002ec015   002e6cbc     NONE System.Object.ToString()
002ec019   002e6cc4     NONE System.Object.Equals(System.Object)
002ec029   002e6cf4     NONE System.Object.GetHashCode()
005f4930   002e6d1c      JIT System.Object.Finalize()
005f8238   002c30b4      JIT app.Foo..ctor()
005f8270   002c30a8      JIT app.Foo.Bar(System.Object, System.EventArgs)

将MethodDesc表的值与_methodPtr的原始值进行比较，没有显然的匹配。

_methodPtr指向一段代码，该代码要么执行一个jmp到对应函数的地址，要么调用一个修复例程，因此下一步是在_methodPtr的值上使用!u命令。 如果我们看到一个jmp指令，我们就有了地址，并通过在该地址上使用!u来获取该方法。

另一方面，如果我们看到对clr!PrecodeFixupThunk的call，则可以通过倒出由_methodPtr指向的内存（例如）来获取MethodDesc：

0:000> dd 2cc060 
002cc060  7e5d65e8 00005e6e 002c30a8 00000000
002cc070  00000000 00000000 00000000 00000000
002cc080  00000000 00000000 00000000 00000000

我们可以看到第三个DWORD中出现了类似方法表项的东西。通过将值002c30a8与上面的方法表进行比较，我们发现该方法的名称为app.Foo.Bar。

由于这是一个构造例子，我知道在这种情况下我找到了要查找的方法。

实际上，上述示例可能会更加复杂，因为字段的使用取决于事件的实际用途。但是，在我的经验中，上述方法在一般的发布/订阅场景中都能起作用。

有关实现细节的详细信息，请查看共享源CLI文件comdelegate.cpp。

我认为你可以在methodPtr的值上使用!ip2md。这将会给出方法的描述。

我创建了一个小的Windbg脚本，可以直接从methodPtr值解析出存储的方法。你可以在这里阅读更多信息。
脚本如下：

r $t0 = ${$arg1}+5
r $t1 = $t0 + 8*by($t0+2) + 3
r $t2 = 8*by($t0+1)
r $t3 = poi($t1) + $t2
!DumpMD $t3

将其存储在文件中，并使用委托的_methodPtr值执行它，例如：

$$>a< "c:\source\DelegateTest\Resolve.txt" 2ef38748 

这应该适用于所有平台和.NET 2.0到.NET 4.5的IT技术相关内容。

另一种方法是在_methodPtr处对数据进行反汇编。 假设我们的EventHandler如下：

      MT    Field   Offset                 Type VT     Attr    Value Name
6da484dc  40000ff        4        System.Object  0 instance 02d8ff64 _target
6da4d0ac  4000100        8 ...ection.MethodBase  0 instance 00000000 _methodBase
6da4b188  4000101        c        System.IntPtr  1 instance  d955840 _methodPtr

让我们来看一下d955840的反汇编。

!U d955840
Unmanaged code
08577a50 b884f8a007      mov     eax,7A0F884h
08577a55 90              nop
08577a56 e855b4d665      call    mscorwks+0x2eb0 (6e2e2eb0)
08577a5b e9ac8de4f7      jmp     003c080c
08577a60 b8d4f9a007      mov     eax,7A0F9D4h
08577a65 90              nop
08577a66 e845b4d665      call    mscorwks+0x2eb0 (6e2e2eb0)
08577a6b e99c8de4f7      jmp     003c080c
08577a70 00b000eb0cb0    add     byte ptr [eax-4FF31500h],dh
08577a76 03eb            add     ebp,ebx

我们在这里看到了一个mov到7A0F884，所以这可能是我们正在寻找的方法。

!dumpmd 7A0F884 
Method Name: DemoClass.OnDemoEvent(System.Object, System.EventArgs)
Class: 07c079e8
MethodTable: 07c10034
mdToken: 060010ee
Module: 07a0b7ac
IsJitted: no
CodeAddr: ffffffff

幸运！

获取方法名的方式有多种，但并非所有方式在所有情况下都适用。

我正在使用ClrMd制作工具，用于探索带有用户友好的GUI的.Net转储文件。有一个功能可以查找委托并显示其调用列表和方法名称。