Naw*_*waz 22 c# c++ dll pinvoke process
我在Win32中编写了一个多线程应用程序,我使用Process来自System.Diagnostics命名空间的类从C#代码开始.
现在,在C#代码中,我想获取在Win32应用程序中创建的每个线程的起始地址的名称/符号,以便我可以将与线程相关的信息(例如CPU使用情况)记录到数据库中.基本上,C#代码启动Win32应用程序的多个实例,监视它们,如果需要则终止,然后将info/error/exceptions/reason/etc记录到数据库.
为此,我已经包装了两个Win32 API viz.SymInitialize以及SymFromAddr我自己编写的程序友好API,如下所示:
extern "C"
{
//wraps SymInitialize
DllExport bool initialize_handler(HANDLE hModue);
//wraps SymFromAddr
DllExport bool get_function_symbol(HANDLE hModule, //in
void *address, //in
char *name); //out
}
然后使用pinvoke从C#代码调用这些API.但它不起作用,并GetLastError提供126 错误代码,这意味着:
指定的模块无法找到
我传递Process.Handle的hModule这两个函数; initialize_handler似乎工作,但get_function_symbol没有; 它给出了上述错误.我不确定我是否通过了正确的手柄.我尝试传递以下句柄:
Process.MainWindowHandle
Process.MainModule.BaseAddress
两者都在第一步失败(即调用时initialize_handler).我Process.Threads[i].StartAddress作为第二个参数传递,这似乎是失败的原因,ProcessThread.StartAddress似乎是RtlUserThreadStart函数的地址,而不是特定于应用程序的启动函数的地址.在MSDN说一下吧:
每个Windows线程实际上都是在系统提供的函数中开始执行,而不是应用程序提供的函数.因此,主线程的起始地址与系统中的每个Windows进程相同(因为它表示系统提供的函数的地址).但是,StartAddress属性允许您获取特定于应用程序的起始函数地址.
但它没有说明如何使用ProcessThread.StartAddress获取特定于应用程序的startinbg函数地址.
我的问题是从另一个应用程序(用C#编写)获取win32线程的起始地址,因为一旦我得到它,我将使用上面提到的API得到名称.那么如何获得起始地址?
我从C++代码测试了我的符号查找API.如果给出正确的地址,它可以很好地将地址解析为符号.
这是我的p/invoke声明:
[DllImport("UnmanagedSymbols.dll", SetLastError = true, CallingConvention= CallingConvention.Cdecl)]
static extern bool initialize_handler(IntPtr hModule);
[DllImport("UnmanagedSymbols.dll", SetLastError = true, CallingConvention = CallingConvention.Cdecl)]
static extern bool get_function_symbol(IntPtr hModule, IntPtr address, StringBuilder name);
Rom*_*kov 16
关键是要调用该NtQueryInformationThread函数.这不是一个完全"官方"的功能(过去可能没有记录?),但文档建议无法获取线程的起始地址.
我把它包装成一个.NET友好的调用,它接受一个线程ID并返回起始地址IntPtr.此代码已在x86和x64模式下进行了测试,在后者中,它在32位和64位目标进程上进行了测试.
我没有测试的一件事是以低权限运行它; 我希望这段代码要求调用者拥有SeDebugPrivilege.
using System;
using System.ComponentModel;
using System.Diagnostics;
using System.Linq;
using System.Runtime.InteropServices;
class Program
{
static void Main(string[] args)
{
PrintProcessThreads(Process.GetCurrentProcess().Id);
PrintProcessThreads(4156); // some other random process on my system
Console.WriteLine("Press Enter to exit.");
Console.ReadLine();
}
static void PrintProcessThreads(int processId)
{
Console.WriteLine(string.Format("Process Id: {0:X4}", processId));
var threads = Process.GetProcessById(processId).Threads.OfType<ProcessThread>();
foreach (var pt in threads)
Console.WriteLine(" Thread Id: {0:X4}, Start Address: {1:X16}",
pt.Id, (ulong) GetThreadStartAddress(pt.Id));
}
static IntPtr GetThreadStartAddress(int threadId)
{
var hThread = OpenThread(ThreadAccess.QueryInformation, false, threadId);
if (hThread == IntPtr.Zero)
throw new Win32Exception();
var buf = Marshal.AllocHGlobal(IntPtr.Size);
try
{
var result = NtQueryInformationThread(hThread,
ThreadInfoClass.ThreadQuerySetWin32StartAddress,
buf, IntPtr.Size, IntPtr.Zero);
if (result != 0)
throw new Win32Exception(string.Format("NtQueryInformationThread failed; NTSTATUS = {0:X8}", result));
return Marshal.ReadIntPtr(buf);
}
finally
{
CloseHandle(hThread);
Marshal.FreeHGlobal(buf);
}
}
[DllImport("ntdll.dll", SetLastError = true)]
static extern int NtQueryInformationThread(
IntPtr threadHandle,
ThreadInfoClass threadInformationClass,
IntPtr threadInformation,
int threadInformationLength,
IntPtr returnLengthPtr);
[DllImport("kernel32.dll", SetLastError = true)]
static extern IntPtr OpenThread(ThreadAccess dwDesiredAccess, bool bInheritHandle, int dwThreadId);
[DllImport("kernel32.dll", SetLastError = true)]
static extern bool CloseHandle(IntPtr hObject);
[Flags]
public enum ThreadAccess : int
{
Terminate = 0x0001,
SuspendResume = 0x0002,
GetContext = 0x0008,
SetContext = 0x0010,
SetInformation = 0x0020,
QueryInformation = 0x0040,
SetThreadToken = 0x0080,
Impersonate = 0x0100,
DirectImpersonation = 0x0200
}
public enum ThreadInfoClass : int
{
ThreadQuerySetWin32StartAddress = 9
}
}
我的系统输出:
Process Id: 2168 (this is a 64-bit process)
Thread Id: 1C80, Start Address: 0000000001090000
Thread Id: 210C, Start Address: 000007FEEE8806D4
Thread Id: 24BC, Start Address: 000007FEEE80A74C
Thread Id: 12F4, Start Address: 0000000076D2AEC0
Process Id: 103C (this is a 32-bit process)
Thread Id: 2510, Start Address: 0000000000FEA253
Thread Id: 0A0C, Start Address: 0000000076F341F3
Thread Id: 2438, Start Address: 0000000076F36679
Thread Id: 2514, Start Address: 0000000000F96CFD
Thread Id: 2694, Start Address: 00000000025CCCE6
除了括号中的东西,因为那需要额外的P/Invoke.
关于SymFromAddress"模块未找到"的错误,我只是想告诉您一个需要调用SymInitialize与fInvadeProcess = true或手动加载模块,在MSDN上的记录.
我知道你说在你的情况下情况并非如此,但我会留下这个,以便通过这些关键字找到这个问题的任何人都能获益.
| 归档时间: |
|
| 查看次数: |
6614 次 |
| 最近记录: |