一 什么是MAP文件
什么是 MAP 文件?简单地讲, MAP 文件是程序的全局符号、源文件和代码行号信息的唯一的文本表示方法,它可以在任何地方、任何时候使用,不需要有额外的程序进行支持。而且,这是唯一能找出程序崩溃的地方的救星。
如果要查找代码行号,需要使用下面的公式做一些十六进制的减法运算:
崩溃行偏移 = 崩溃地址(Crash Address) - 基地址(ImageBase Address) - 0x1000
为什么要这样做呢?我们得到的崩溃地址都是由 偏移地址+ 基地址得来的,所以在计算行号的时候要把基地址减去,一般情况下,基地址的值是 0x00400000 。另外,由于一般的 PE 文件的代码段都是从 0x1000 偏移开始的,所以也必须减去 0x1000 。
二 Delphi 下生成MAP文件的方法
project -> options -> Linker -> Map file 选择detailed。 生成的位置在Exe文件所在的目录。
三 例子
代码
procedure TForm1.Button1Click(Sender: TObject);
var
I, J: Integer;
p: PChar;
begin
I := 10;
J := 0;
p := nil;
p^ := 'A'; // 36行. 这里会报错
end;
var
I, J: Integer;
p: PChar;
begin
I := 10;
J := 0;
p := nil;
p^ := 'A'; // 36行. 这里会报错
end;
运行时会报错
这里可以发现出错地址是:$00401A51
根据: 崩溃行偏移 = 崩溃地址(Crash Address) - 基地址(ImageBase Address) - 0x1000
=$00401A51 - $00400000 -$1000
=$00000A51
用记事本打开生成的MAP文件
Line numbers for Unit1(Unit1.pas) segment .text
Line numbers for Unit1(Unit1.pas) segment .text
32 0001:00000A48 35 0001:00000A49 36 0001:00000A4E 37 0001:00000A54
40 0001:00000A58 42 0001:00000A7D 43 0001:00000A8E 44 0001:00000ABD
45 0001:00000AEE 49 0001:00000AF8 50 0001:00000B10 52 0001:00000B44
52 0001:00000B4B
40 0001:00000A58 42 0001:00000A7D 43 0001:00000A8E 44 0001:00000ABD
45 0001:00000AEE 49 0001:00000AF8 50 0001:00000B10 52 0001:00000B44
52 0001:00000B4B
那么,通过在MAP文件里查找小于或等于$00000A51的最大值就是,我们要得到的崩溃行偏移.
这样得到出错行在, Unit1单元的36行. 正好是这行: p^ := 'A'; // 36行. 这里会报错
建议给客户的时候不要带着map文件,map文件里记录着所有程序函数的名称及入口内存地址,太方便别人破解了。