Die Methode Get-name von Delegierten mit WinDbg

Ich hab folgenden dump der delegate-Objekt:

Name: MyEventHandler  
MethodTable: 132648fc  
EEClass: 1319e2b4  
Size: 32(0x20) bytes  
Fields:  
     MT    Field   Offset                 Type VT     Attr    Value Name  
790fd0f0  40000ff        4        System.Object  0 instance 014037a4 _target  
7910ebc8  4000100        8 ...ection.MethodBase  0 instance 00000000 _methodBase  
791016bc  4000101        c        System.IntPtr  1 instance 2ef38748 _methodPtr  
791016bc  4000102       10        System.IntPtr  1 instance        0 _methodPtrAux  
790fd0f0  400010c       14        System.Object  0 instance 00000000 _invocationList  
791016bc  400010d       18        System.IntPtr  1 instance        0 _invocationCount

Wie bekomme ich den Namen der Methode, wies von der Stellvertretung?

InformationsquelleAutor Tsvetko | 2010-09-08

  1. 36

    Meiner Erfahrung der Vorschlag angeboten von hakan nicht funktioniert. Hier ist, was ich Tue.

    Die Ausgabe zeigt, dass das angeschlossene handler ist ein Mitglied von das Objekt verweist _target. Von dumping, werden Sie erhalten es ist die Methode table.

    Ich habe gebaut ein ähnliches Beispiel, um zu veranschaulichen:

    0:000> !do 02844de4 
Name: System.EventHandler
MethodTable: 0067afa4
EEClass: 0052ef88
Size: 32(0x20) bytes
 (C:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll)
Fields:
      MT    Field   Offset                 Type VT     Attr    Value Name
002e6d58  40000ff        4        System.Object  0 instance 02842d20 _target
0058df70  4000100        8 ...ection.MethodBase  0 instance 00000000 _methodBase
0058743c  4000101        c        System.IntPtr  1 instance   2cc060 _methodPtr
0058743c  4000102       10        System.IntPtr  1 instance        0 _methodPtrAux
002e6d58  400010c       14        System.Object  0 instance 00000000 _invocationList
0058743c  400010d       18        System.IntPtr  1 instance        0 _invocationCount

    In diesem Fall werde ich schauen das Objekt an 02842d20.

    0:000> !do 02842d20 
Name: app.Foo
MethodTable: 002c30bc
EEClass: 002c13d4
Size: 12(0xc) bytes
 (C:\workspaces\TestBench\app\bin\x86\Debug\app.exe)
Fields:
None

    Also der Zieltyp app.Foo. Lassen Sie uns einen dump der Methoden für diesen Typ. 

    0:000> !dumpmt -md 002c30bc
EEClass: 002c13d4
Module: 002c2c5c
Name: app.Foo
mdToken: 02000002  (C:\workspaces\TestBench\app\bin\x86\Debug\app.exe)
BaseSize: 0xc
ComponentSize: 0x0
Number of IFaces in IFaceMap: 0
Slots in VTable: 6
--------------------------------------
MethodDesc Table
   Entry MethodDesc      JIT Name
002ec015   002e6cbc     NONE System.Object.ToString()
002ec019   002e6cc4     NONE System.Object.Equals(System.Object)
002ec029   002e6cf4     NONE System.Object.GetHashCode()
005f4930   002e6d1c      JIT System.Object.Finalize()
005f8238   002c30b4      JIT app.Foo..ctor()
005f8270   002c30a8      JIT app.Foo.Bar(System.Object, System.EventArgs)

    Vergleichen Sie die Werte der MethodDesc Tabelle mit dem ursprünglichen Wert von _methodPtr. Keine erkennbare übereinstimmung.

    _methodPtr Punkte, um ein Stück code, das entweder funktioniert ein jmp um die Adresse der Funktion in Frage oder fordert ein fix-up-routine, so dass der nächste Schritt ist die Verwendung der !u Befehl auf den Wert der _methodPtr. Wenn wir sehen, ein jmp Unterricht haben wir die Adresse und durch die Verwendung !u auf die Methode.

    Wenn auf der anderen Seite sehen wir eine call zu clr!PrecodeFixupThunk können wir die MethodDesc durch das einbringen der Speicher verweist _methodPtr wie diese

    0:000> dd 2cc060 
002cc060  7e5d65e8 00005e6e 002c30a8 00000000
002cc070  00000000 00000000 00000000 00000000
002cc080  00000000 00000000 00000000 00000000

    sehen wir etwas, das aussieht wie eine Methode Tabelle Eintrag in das Dritte DWORD. Durch den Vergleich der Wert 002c30a8 mit der Methode Tabelle oben, sehen wir, dass der name der Methode ist app.Foo.Bar.

    Da dies ein konstruiertes Beispiel, ich weiß, dass ich gefunden habe, die Methode, die ich suchte, in diesem Fall.

    Eigentlich kann es etwas komplizierter, dass das obige Beispiel zeigt, wie die Felder werden unterschiedlich verwendet, abhängig von der tatsächlichen Verwendung der Veranstaltung. Allerdings, meiner Erfahrung nach ist der Ansatz oben wird die Arbeit im Allgemeinen Verleger/Abonnent-Szenario.

    Für mehr details auf die details der Implementierung, die Datei Auschecken comdelegate.cpp des shared-source-CLI.

    Anstelle der manuellen Vergleich zur Methode Tabelle können Sie auch verwenden !DumpMD-Befehl mit der Methode Deskriptor.
    Sieht schlecht aus auf x64, nur ein Sprung zu registrieren

    InformationsquelleAutor Brian Rasmussen

  2. 3

    Ich glaube, Sie verwenden können !ip2md auf den Wert der methodPtr. Dass sollte die Methode der Beschreibung.

    Das wird nicht immer funktionieren. Aber meiner Erfahrung nach keine Methode, die immer klappt, so haben Sie zu wissen, und probieren Sie verschiedene Techniken, um den Namen der Methode
    Ihr seid wahrscheinlich Recht, schnelles googeln zeigte, dass dies möglicherweise nicht funktionieren, wenn die Methode nicht JITted noch. Aber ich würde trotzdem zunächst versuchen, diese und wenn es nicht funktioniert, andere Ansätze. Brian Lösung, die dumping-Methoden der Ziel-Objekt, sieht sehr bequem eigentlich.

    InformationsquelleAutor hakan

  3. 3

    Eine weitere Möglichkeit ist das zerlegen der Daten in _methodPtr.

    Können sagen, unsere EventHandler sieht wie folgt aus:

          MT    Field   Offset                 Type VT     Attr    Value Name
6da484dc  40000ff        4        System.Object  0 instance 02d8ff64 _target
6da4d0ac  4000100        8 ...ection.MethodBase  0 instance 00000000 _methodBase
6da4b188  4000101        c        System.IntPtr  1 instance  d955840 _methodPtr

    Schauen wir uns die Demontage der d955840

    !U d955840
Unmanaged code
08577a50 b884f8a007      mov     eax,7A0F884h
08577a55 90              nop
08577a56 e855b4d665      call    mscorwks+0x2eb0 (6e2e2eb0)
08577a5b e9ac8de4f7      jmp     003c080c
08577a60 b8d4f9a007      mov     eax,7A0F9D4h
08577a65 90              nop
08577a66 e845b4d665      call    mscorwks+0x2eb0 (6e2e2eb0)
08577a6b e99c8de4f7      jmp     003c080c
08577a70 00b000eb0cb0    add     byte ptr [eax-4FF31500h],dh
08577a76 03eb            add     ebp,ebx

    Sehen wir einen mov zu 7A0F884 hier, so könnte dies die Methode, die wir suchen:

    !dumpmd 7A0F884 
Method Name: DemoClass.OnDemoEvent(System.Object, System.EventArgs)
Class: 07c079e8
MethodTable: 07c10034
mdToken: 060010ee
Module: 07a0b7ac
IsJitted: no
CodeAddr: ffffffff

    bingo!

    Gibt es verschiedene Möglichkeiten, um den Namen der Methode, und nicht alle funktionieren in allen Situationen

    InformationsquelleAutor sloth

  4. 3

    Habe ich creatd ein littel Windbg-script zum beheben des gespeicherten Methode direkt von einem methodPtr Wert. Lesen Sie mehr über hier.

    Dem Skript ist:

    r $t0 = ${$arg1}+5
r $t1 = $t0 + 8*by($t0+2) + 3
r $t2 = 8*by($t0+1)
r $t3 = poi($t1) + $t2
!DumpMD $t3

    Speichern es in einer Datei und führen Sie es mit der _methodPtr Wert Ihrer Stellvertretung ein, wie

    $$>a< "c:\source\DelegateTest\Resolve.txt" 2ef38748

    Sollte den trick tun auf allen Plattformen und für .NET 2.0 bis .NET 4.5.

    Es funktioniert! Vielen Dank für die Antwort und für den link
    Wie hast Du den trick mit magic pointer-Arithmetik?
    Durch den Blick auf den erzeugten assembler-code. Es ist so einfach wie das. Ich könnte beachten Sie, dass es eigentlich zwei Delegierte Arten von anrufen. Action, Func, ... sind schnell. Aber "alt" stlye delgates, die Sie ausdrücklich erklären, gehen in sehr unterschiedliche code-Pfad (z.B. MethodInvoker für WndProc Delegierten) ist eine Recht häufige.
    Danke! Sehr interessant

    InformationsquelleAutor Alois Kraus

  5. 0

    Mit Hilfe von ClrMd, ich arbeite an einer tool zu erkunden .Netz-dump-Datei mit einer benutzerfreundlichen GUI.
    Es ist ein feature zu finden Delegierten und anzeigen der Aufruf-Liste und Methode Namen.

    Bitte poste keine links hier, aber kopieren Sie den entsprechenden code.

    InformationsquelleAutor FreMag

Schreibe einen Kommentar