例如IDA Pro的节目导入表包含在库函数CheckTokenMembership API-MS-双赢安全基础l1-2-0如何设置断点在WinDbg中的API-MS-*呼吁在Windows 10
对于API调用https://msdn.microsoft.com/en-us/library/windows/desktop/aa376389(v=vs.85).aspx检查MSDN信息它说,这是在ADVAPI32.DLL
但是试图
BP ADVAPI32!CheckTokenMembership
结果错误无法在解决错误 'ADVAPI32!CheckTokenMembership'
CheckTokenMembership是且始终将由advapi32.dll导出。问题是WinDbg使用符号名称,如果你有所述模块的符号。
我会做的是类型bp ADVAPI32!CheckTokenMembership,然后按Tab键和你应该bp ADVAPI32!CheckTokenMembershipStub结束。这个技巧并不适用于所有事情,有时候你必须自己弄清楚前进方向,或者查看ntdll.dll和kernelbase.dll输出。
api-文件不包含代码,它们只是Microsoft出于某种原因强制强制每个人的分层练习。我相信他们是MinWin实验的结果,他们可能有一天会包含代码,但即使如此,kernel32和朋友仍然会拥有转发器来保持兼容性,所以没有任何理由让微软以外的任何人使用api-文件(恕我直言)。
我在崩溃转储文件中验证了advapi32.dll导出CheckTokenMembership函数,因此应该可以设置断点。在你的场景中,模块可能还没有被加载,所以如何尝试'bu'呢?来自WinDbg的帮助:
76b51ca2 ADVAPI32 CheckTokenMembership()
的用户(和内核)出口分解为* API-MS - !\ *。dll的*文件是建立API集的一部分。这是一项工程工作,为Windows在任何*设备上运行奠定了基础,实质上也就是启用通用Windows平台的基础。它允许在PC,平板电脑,手机,HoloLens,物联网设备,Xbox等上运行相同的代码。 – IInspectable
API集一般不作为真实文件实现。加载器根据apisetschema.dll中的映射将它们映射到实现DLL。 (目前在Windows 10系统中,apisetschema.dll通常是System32中唯一的“api * .dll”文件。)链接wth mincore.lib或onecore.lib将使用API集。 – eryksun