如何通过调试器工具找到未知 exe 的命令行/参数？

Question

假设我有一个已编译的exe，并且我想找到exe的参数或命令行参数，我该如何使用调试器来做到这一点？我认为这个主题属于逆向工程的范畴，但我似乎找不到如何实现这个技巧的指南。

我能得到的最接近的是在 exe 上使用调试器，并在 CreateProcess 上设置断点。但是，如何在调试器中找到 CreateProcess 函数呢？

Answer 1

使用一些命令行参数运行 exe，例如“target.exe -whateverabc”
然后，当调试器加载 exe 时，在内存中搜索 -whateverabc 并在该内存位置和可能的重复项上设置读取断点。希望当断点触发时，您将进入检查该 exe 中的命令行参数的函数内。

要在 CreateProcess 上设置断点，您可以在某些调试器中键入“bpx CreateProcess”。
或者编写一个小应用程序，在 kernel32.dll 上使用 LoadLibrary 或包含您的函数的 dll，然后使用函数名称的 GetProcAddress 来获取其地址。然后在该地址上设置执行断点；

Answer 2

某些调试器允许您在调试对象的上下文中调用任意函数，因此如果您的调试器支持该功能，则可以调用 GetCommandLine() 函数。

另一种选择是采用半文档化的 TEB 和 PEB 结构。您需要转到 fs:30h (PEB)，然后 ProcessParameters，并检查其中的 CommandLine 字段。