如何确定函数调用正在使用哪个 Windows DLL？

Question

我一直在研究 _vsnprintf 并了解到它在 ntdll.dll 和 msvcrt.dll 中可用。

我可以使用GetModuleHandle和GetProcAddress访问_vsnprintf，例如：

static int(__cdecl *p__vsnprintf)(char *str, size_t count, const char *format, va_list valist);

static void init(const char *dll)
{
    HMODULE hmod = GetModuleHandleA(dll);
    if (hmod)
    {
        printf("*** Testing %s ***\n", dll);

        p__vsnprintf = (void *)GetProcAddress(hmod, "_vsnprintf");
        if (p__vsnprintf) test__vsnprintf();
        else printf("_vsnprintf not found in %s.\n", dll);
    }
    else printf("*** Unable to load %s ***\n", dll);

    printf("\n");
}

int main(void)
{
    init("ntdll.dll"); /* ntdll _vsnprintf */
    init("msvcrt.dll"); /* msvcrt _vsnprintf */

    printf("*** Testing normal function call ***\n");
    test_vsnprintf(); /* _vsnprintf in ??? */

    return 0;
}

对于通用调用，我如何判断 Windows 使用的是来自 ntdll.dll 还是 msvcrt.dll 的_vsnprintf？

Answer 1

dumpbin /imports 会告诉你。另外，方便的depends utility。

Answer 2

要务实地做到这一点，您有两个主要选项：

1. 如果它是静态导入，您可以探索 IAT 并检查其导入来源的模块。
2. 如果您是动态执行此操作（即：使用GetProcAddress），您可以使用VirtualQuery 和GetModuleFileName 来找出它来自的模块。还有GetModuleBaseName 用于查找模块名称。
3. 在上面的示例中，当您有一个成功的 GetProcAddress 时，只需跟踪使用的 HMODULE。