首页/资讯中心/详情

dumpbin 用法详解

dumpbin 用法详解
📅 发布时间:2026/6/20 5:03:31

dumpbin 用法详解:DLL / EXE 结构分析必备工具

在 Windows 平台做 C/C++、逆向工程、DLL 调试、PE 文件分析 时,dumpbin 是一个极其重要但经常被低估的工具

本文将系统介绍:

  • dumpbin 是什么
  • 如何安装 & 使用
  • 常用参数详解
  • 如何导出 .data / .rdata / .text 等段信息
  • 实际使用场景(逆向 / 排错 / 构建分析)

适合:
Windows 开发者 / 逆向分析 / DLL 调试 / 系统工程师

一、dumpbin 是什么?

dumpbin.exeMicrosoft Visual Studio 自带的 PE/COFF 文件分析工具,主要用于:

  • 查看 EXE / DLL 的内部结构
  • 分析 导出函数 / 导入函数
  • 查看 段(Section)信息
  • 查看 符号表、重定位表
  • 判断 32 位 / 64 位、依赖库、入口点

本质上:

dumpbin = 官方版 PE 文件解析器

二、dumpbin 在哪里?如何使用?

1、 dumpbin 的位置

一般位于(以 VS2022 为例):

C:\Program Files\Microsoft Visual Studio\2022\Community\VC\Tools\MSVC\<版本号>\bin\Hostx64\x64\dumpbin.exe

如果你不想每次敲全路径,推荐:

  • 使用 “x64 Native Tools Command Prompt for VS”
  • 或把该目录加入 PATH

2、 基本用法格式

dumpbin [选项] 文件名

例如:

dumpbin /headers test.dll

dumpbin /headers test.dll > fileName.txt,可以将结果导出到文本文件中

三、最常用的 dumpbin 参数(重点)

1、 /headers —— 查看 PE 头 & 段信息(最常用)

dumpbin /headers test.dll

你会看到:

  • PE 类型(PE32 / PE32+)
  • ImageBase
  • EntryPoint
  • Section 列表(.text / .data / .rdata / .reloc

示例输出片段:

SECTION HEADER #1
.text name
virtual size: 00023A10
raw data size: 00024000SECTION HEADER #2
.data name
virtual size: 00001234
raw data size: 00004000

判断 DLL 是否有 .data 段、大小是多少,首选这个命令

2、 /summary —— 快速查看各段大小(非常直观)

dumpbin /summary test.dll

输出示例:

Summary4000 .data
F000 .rdata
4000 .reloc
24000 .text

这个命令非常适合:

  • 快速判断是否有 .data
  • 估算代码 / 数据占比
  • 对比不同版本 DLL 的变化

3、 /exports —— 查看 DLL 导出函数

dumpbin /exports test.dll

# 可以将结果导出到文本文件中
dumpbin /exports test.dll > fileName.txt

你可以看到:

  • 导出函数名
  • 序号(ordinal)
  • RVA

常用于:

  • COM / DLL 接口分析
  • 判断是否是 C 接口 or C++ 接口
  • 配合 GetProcAddress

4、 /imports —— 查看依赖的 DLL & API

dumpbin /imports test.dll

输出示例:

KERNEL32.dllCreateFileWReadFileWriteFileADVAPI32.dllRegOpenKeyExW

非常适合:

  • 判断程序是否使用注册表
  • 是否涉及加密 / 文件 / 网络
  • 排查部署环境缺 DLL 的问题

5、 /dependents —— 快速查看依赖 DLL

dumpbin /dependents test.exe

/imports 更粗粒度,适合:

  • 判断缺不缺运行库
  • 快速定位启动失败原因

6、 /symbols —— 查看符号表(调试/逆向)

dumpbin /symbols test.obj

通常用于:

  • obj / lib 分析
  • 带调试符号的构建产物

四、如何“导出 .data 段”?(重点澄清)

错误做法(常见误区)

很多人会尝试:

dumpbin /rawdata:.data test.dll

然后得到错误:

LINK : fatal error LNK1117: 选项“rawdata:.data”中的语法错误

原因:

  • dumpbin 并不能直接“导出某个段的二进制内容”
  • /rawdata 只能用于查看,不是导出

正确思路

1、 用 dumpbin 确认 .data 段是否存在 & 大小

dumpbin /headers test.dll

记下:

  • .dataVirtualAddress
  • .dataSizeOfRawData

2、 用专业工具导出

推荐组合方案:

工具 用途
dumpbin 查看结构、偏移
PE-bear / CFF Explorer 可视化导出段
IDA / Ghidra 精确分析 data 符号
HxD / 010Editor 手工切段

dumpbin 的定位是“结构分析”,不是“数据导出”工具

五、典型实战场景

场景 1:逆向 DLL,确认是否有关键常量

dumpbin /summary target.dll

如果 .data / .rdata 很大:

高概率有 字符串、Key、表驱动数据

场景 2:排查 DLL 无法加载

dumpbin /dependents target.dll

看是不是缺 VC 运行库 / 第三方 DLL

场景 3:分析是否使用注册表 / 文件 / 网络

dumpbin /imports target.dll

搜索:

  • RegOpenKey
  • CreateFile
  • WinHttp
  • Crypt*

场景 4:判断 32 / 64 位不匹配

dumpbin /headers target.dll
  • PE32 → 32 位
  • PE32+ → 64 位
    在这里插入图片描述