我通过 SymEnumSymbols 从 .pdb 文件中读取了我的主函数的地址,该值为0x0100116e0。
BOOL CALLBACK SymEnumSymbolsProc(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext )
{
if( pSymInfo != NULL )
{
// Show the symbol
std::string str = pSymInfo->Name;
if (str.find("main")!=-1)
{
int ss=pSymInfo->Address;
}
}
return TRUE;
}
但是在VS2008的反汇编代码中,这个函数的地址是004116E0。
int _tmain( int argc, const TCHAR* argv[] )
{
004116E0 push ebp
004116E1 mov ebp,esp
...
{
然后我尝试通过向SymGetSymFromAddr64传递2个不同的地址来验证结果,我如预期得到了相同的函数符号,唯一的区别是PIMAGEHLP_SYMBOL64的地址成员,一个为100116e0,而另一个为4116E0。 我还尝试使用Microsoft的dbh.exe进行验证,命令为
load TestSymbolLookup.pdb
TestsymbolLookup [1000000]:n main
addr : 10116e0
name : main
size : b2c
flags : 0
type : 2
modbase: 1000000
value : 0
reg : 0
scope : SymTagExe<1>
tag : SymTagFunction<5>
index :1
我的主函数地址在TestsymbolLookup.exe中是唯一的,但为什么我得到了2个不同的答案?