我在PyKD中有一个模块:
>>> print module("rundll32")
Module: rundll32
Start: 7f0000 End: 7fe000 Size: e000
Image: C:\Windows\SysWOW64\rundll32.exe
Symbols: e:\debug\symbols\rundll32.pdb\EFAE0C870C2846EDB63B9A7274CD50422\rundll32.pdb
Timestamp: 4a5bc637
Check Sum: 11cf2
有了这些信息,我如何才能找到有关该模块的更多信息,类似于lm vm <module>
WinDbg的命令?
start end module name
007f0000 007fe000 rundll32 (deferred)
Image path: C:\Windows\SysWOW64\rundll32.exe
Image name: rundll32.exe
Timestamp: Tue Jul 14 01:41:43 2009 (4A5BC637)
CheckSum: 00011CF2
ImageSize: 0000E000
File version: 6.1.7600.16385
Product version: 6.1.7600.16385
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 1.0 App
File date: 00000000.00000000
Translations: 0409.04b0
CompanyName: Microsoft Corporation
ProductName: Microsoft® Windows® Operating System
InternalName: rundll
OriginalFilename: RUNDLL32.EXE
ProductVersion: 6.1.7600.16385
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
FileDescription: Windows host process (Rundll32)
LegalCopyright: © Microsoft Corporation. All rights reserved.
特别是,我想获取“ OriginalFilename”。
大多数信息存储在模块的版本资源信息中。您可以使用queryVersion()
方法访问版本资源。它需要一个字符串参数来指定资源,例如
>>> m = module("rundll32")
>>> m.queryVersion("LegalCopyright")
'\xa9 Microsoft Corporation. All rights reserved.'
请注意,该参数不必是版本号,因此方法名称queryVersion()
有点误导。
参数:
CompanyName
InternalName
ProductName
OriginalFilename
ProductVersion
FileVersion
FileDescription
LegalCopyright
中提供的其他信息lm vm
:
hex(m.begin())
hex(m.end())
m.name()
m.getFixedFileInfo().FileFlags
hex(m.checksum())
hex(m.timestamp())
hex(m.getFixedFileInfo().FileOS)
hex(m.getFixedFileInfo().FileType)
"%08X.%08X" % (m.getFixedFileInfo().FileDateLS , m.getFixedFileInfo().FileDateMS)
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句