内存遍历导入导出函数崩溃？

董督秀

我编译了一个32位程序"Lab.exe"，其能够从正在运行的名为"demo64.exe"的32位或64位进程中遍历全模块的所有导入与导出函数。

但是存在一些问题：

情况一：在实体机中，偶尔会出现无法进行遍历的情况，通常重启能解决；但在虚拟机中，都能遍历，这样的情况似乎不存在。
情况二：遇到部分含壳的程序，例如UPX，遍历会崩溃。



情况三：如果从调试器中运行"Lab.exe"，则遍历得到的导出表结果比直接运行"Lab.exe"，得到的结果要少。

（正常运行）


（调试器运行）



导致情况一、二、三最有可能原因，分别是什么？

示例程序：
https://wwsc.lanzouo.com/iKryA2q0yybi

冥界3大法王

你要Delphi导入导出表的实现吗？
按理说有无壳子数量该=啊。

你好，再见

我测试调试与不调试效果是一样的
upx运行起来就没壳了，按道理不会出现有壳无壳不一样的情况

苏紫方璇

我这里测试结论和楼主一样，导出表少可以比对一下输出的数据，看少了那些，在对着源码调试一下。崩溃的话，调试器应该能接到异常断下来的。

冥界3大法王

苏紫方璇 发表于 2025-3-9 20:32
我这里测试结论和楼主一样，导出表少可以比对一下输出的数据，看少了那些，在对着源码调试一下。崩溃的话， ...

@苏紫方璇
有一个问题困扰我数个月不死心。。。
昨天通过自己的试验 （ 先在 .dpr (DLL 工程文件中导入一个空窗体Form1(仅导入不做任何处理))，然后立马再编译生成*.dp32 , 果然 x32dbg.exe 马上崩溃了 ，退出时的那个坑爹的 MiniDumpXXX.dmp就生成了。。。就算用WinDBG分析它。。再用AI修复无数次，依然生成。。。
于是我不死心，又问了下AI，果然。。 这次我终于踏实了。。。知道为什么很多人生成的插件界面奇丑无比，字体还超级的小，原来都是动态生成的。。。


表姐，看看是不是这么回事？

苏紫方璇

冥界3大法王 发表于 2025-3-13 16:19
@苏紫方璇
有一个问题困扰我数个月不死心。。。
昨天通过自己的试验 （ 先在 .dpr (DLL 工程文件中导 ...

感觉ai的说法不正确，x64dbg里自带的scylla插件就是非qt的普通窗体，也能成功加载。delphi好久没搞过，不太清楚。可以使用另一个x64dbg或者其他调试器去调试加载你的插件的x64dbg，看看崩溃的原因和位置，感觉会比分析dump文件灵活一些

冥界3大法王

苏紫方璇 发表于 2025-3-13 17:16
感觉ai的说法不正确，x64dbg里自带的scylla插件就是非qt的普通窗体，也能成功加载。delphi好久没搞过，不 ...

不用分析早就放弃了。。唯一崩溃的区别就是不写入文档历史。。。我用热键+批处理启重+手动写入ini的笨法解决了。。。1秒就退出回归了。

董督秀

冥界3大法王 发表于 2025-3-13 16:19
@苏紫方璇
有一个问题困扰我数个月不死心。。。
昨天通过自己的试验 （ 先在 .dpr (DLL 工程文件中导 ...

这个不一定。用mfc也能写x64dbg带窗体插件，并且能成功调用窗口且不崩溃。