文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >如何在PyKD中获取模块的原始文件名?

如何在PyKD中获取模块的原始文件名?
EN

Stack Overflow用户
提问于 2015-08-24 22:53:47
回答 1查看 166关注 0票数 0

我在PyKD中有一个模块

代码语言:javascript
复制
>>> print module("rundll32")
Module: rundll32
Start: 7f0000 End: 7fe000 Size: e000
Image: C:\Windows\SysWOW64\rundll32.exe
Symbols: e:\debug\symbols\rundll32.pdb\EFAE0C870C2846EDB63B9A7274CD50422\rundll32.pdb
Timestamp: 4a5bc637
Check Sum: 11cf2

有了这些信息,我如何才能找到更多关于模块的信息,类似于lm vm <module>命令的WinDbg?

代码语言:javascript
复制
start    end        module name
007f0000 007fe000   rundll32   (deferred)             
    Image path: C:\Windows\SysWOW64\rundll32.exe
    Image name: rundll32.exe
    Timestamp:        Tue Jul 14 01:41:43 2009 (4A5BC637)
    CheckSum:         00011CF2
    ImageSize:        0000E000
    File version:     6.1.7600.16385
    Product version:  6.1.7600.16385
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        1.0 App
    File date:        00000000.00000000
    Translations:     0409.04b0
    CompanyName:      Microsoft Corporation
    ProductName:      Microsoft® Windows® Operating System
    InternalName:     rundll
    OriginalFilename: RUNDLL32.EXE
    ProductVersion:   6.1.7600.16385
    FileVersion:      6.1.7600.16385 (win7_rtm.090713-1255)
    FileDescription:  Windows host process (Rundll32)
    LegalCopyright:   © Microsoft Corporation. All rights reserved.

特别是,我想得到"OriginalFilename“。

python
windbg
pykd
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2015-08-24 22:53:47

大部分信息存储在模块的版本资源信息中。可以使用queryVersion()方法访问版本资源。它使用一个字符串参数来指定资源。

代码语言:javascript
复制
>>> m = module("rundll32")
>>> m.queryVersion("LegalCopyright")
'\xa9 Microsoft Corporation. All rights reserved.'

注意参数不一定是版本号,所以方法名queryVersion()有点误导。

参数:

  • CompanyName
  • InternalName
  • ProductName
  • OriginalFilename
  • ProductVersion
  • FileVersion
  • FileDescription
  • LegalCopyright

lm vm中的其他信息

  • Start:hex(m.begin())
  • 结尾:hex(m.end())
  • 名称:m.name()
  • 文件标志:m.getFixedFileInfo().FileFlags
  • 校验和:hex(m.checksum())
  • 时间戳:hex(m.timestamp())
  • 文件操作系统:hex(m.getFixedFileInfo().FileOS)
  • 文件类型:hex(m.getFixedFileInfo().FileType)
  • 文件日期:"%08X.%08X" % (m.getFixedFileInfo().FileDateLS , m.getFixedFileInfo().FileDateMS)
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/32192998

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档