如何查看DLL中的函数名及参数

函数名很简单，导出表里写的明明白白，随便一个dll查看工具都可以读出，比如CFF explorer。但是对于参数，就像楼上说的那样，不能看出它真实的数据类型（即在高级语言中的抽象数据类型）。因为都编译成汇编了，没有抽象的概念了，此时只能知道数据大小。

但是，不代表就没有办法了。有个一软件叫IDA，专门用于静态分析，它可以反编译汇编成C的伪代码，从而大致能知道传入、传出了啥。如果再知道函数的功能的话，只要不是太复杂，分析出参数类型问题不大。

IDA反编译大概效果就是这样：void __fastcall Function(__int64 a1, __int64 *a2, int a3, _QWORD *a4)。这里只复制了个声明，但也可以看出，比晦涩的汇编容易读多了。注意上面写的数据类型只能当作参考，因为这些数据类型也是软件根据代码行为推测的。

可以通过反汇编来知道接口函数的参数，建议使用W32DSM来分析，也可以直接使用VC来分析，就是麻烦一点。

现在使用W32DSM来具体说明：

1。先打开需要分析的DLL，然后通过菜单功能-》出口来找到需要分析的函数，双击就可以了。

它可以直接定位到该函数。

2。看准该函数的入口，一般函数是以以下代码作为入口点的。

push ebp

movebp, esp

...

3。然后往下找到该函数的出口，一般函数出口有以下语句。

...

retxxxx//其中xxxx就是函数差数的所有的字节数，为4的倍数，xxxx除以4得到的结果

就是参数的个数。

其中参数存放的地方：

ebp+08 //第一个参数

ebp+0C //第二个参数

ebp+10 //第三个参数

ebp+14 //第四个参数

ebp+18 //第五个参数

ebp+1C //第六个参数

。。。。

-------------------------------------------

还有一种经常看到的调用方式：

sub esp,xxxx //开头部分

//函数的内容

。。。

//函数的内容

add esp,xxxx

ret//结尾部分

其中xxxx/4的结果也是参数的个数。

-------------------------------------------------

还有一种调用方式：

有于该函数比较简单，没有参数的压栈过程，

里面的

esp+04就是第一个参数

esp+08就是第二个参数

。。。

esp+xx就是第xx/4个参数

你说看到的xx的最大数除以4后的结果，就是该函数所传递的参数的个数。

----------------------------------------------

到现在位置，你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容，还需要进一步的分析。

最方便的办法就是先找到是什么软件在调用此函数，然后通过调试的技术，找到该函数被调用的地方。一般都是PUSH指令

来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了，一般来说，如果参数是整数，一看就可以知道了，

如果是字符串的话也是比较简单的，只要到那个地址上面去看一下就可以了。

如果传递的结构的话，没有很方便的办法解决，就是读懂该汇编就可以了。对于以上的分析，本人只其到了抛砖引玉，

---