zoukankan      html  css  js  c++  java

  • Windbg查看调用堆栈(k*)

            无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆栈。学会windbg调用堆栈命令,以及理解堆栈中的各个参数的意义就显得至关重要。

    上图就是一个典型的Windbg堆栈,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。

    1. 函数参数

            函数的参数传递有二种方式:堆栈方式、寄存器方式。如果是堆栈方式传递的,就需要定义参数在堆栈中的传递顺序,并约定函数被调用之后,由谁来平衡堆栈;如果是寄存器方式传递的,就需要确定参数存放在哪个寄存器中。每一种方式都有其优缺点,而且与使用的编程语言有关系,不存在哪种方式好与坏。

    如Visual Studio中的C++工程,可以C++ --> 高级 --> 调用约定中进行设置:

            常用的调用约定类型有__cdecl、stdcall、PASCAL、fastcall。除了fastcall可以支持以寄存器的方式来传递函数参数外,其他的都是通过堆栈的方式来传递函数参数的。

    利用堆栈传递参数

            堆栈是一种“后进先出”的数据结构,ESP寄存器始终指向栈顶。栈中数据地址从底部到顶部依次减小,也就是说,栈底对应高地址,栈顶对应低地址。
    调用函数时,调用者依次把参数压栈,然后调用函数,函数被调用之后,在堆栈中取得参数数据。函数调用结束以后,堆栈需要恢复到函数调用之前的样子,具体由调用者来恢复还是由函数自身来恢复,根据不同的调用约定类型采用不同的方式。

    约定类型 __cdecl stdcall PASCAL fastcall
    参数传递顺序 从右到左 从右到左 从左到右 使用寄存器
    平衡堆栈者 调用者 函数自身 函数自身 函数自身

    __cdcel是C/C++/MFC程序默认的调用约定。
    stdcall是Win32中绝大多数 API函数的约定方式,也有少部分使用__cdcel约定方式,如wsprintf等。

            在windows C/C++开发中常用的就是__cdecl和stdcall这2种调用约定。
    假设调用函数int add(int a, int b), 按照不同的调用约定来调用它。从调用者的视角来看,其汇编代码分别表示如下:

    __cdecl

    push b     ;参数按从右到左传递
push a
call add
add esp, 8 ;调用者在函数外部平衡堆栈

    stdcall

    push b     ;参数按从右到左传递
push a
call add   ;函数自己内部平衡堆栈

    在函数调用过程中,参数入栈的过程:

    上图中,EBP和函数返回地址都是地址,在32位程序中地址占4个字节。在函数的一次调用过程中EBP是不会变化的,函数调用完之后会将EBP恢复为暂存在堆栈中的原EBP值。所以,通过EBP可以获取函数各个参数的值:
    参数a = EBP + 0x8
    参数b = EBP + 0xC

    2. Windbg堆栈命令

    2.1 显示堆栈信息k*

    [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] [FrameCount]
[~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr [FrameCount]
[~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr StackPtr InstructionPtr
[~Thread] kd [WordCount]

    参数:
    Thread  指定显示哪个线程的调用堆栈。如果省略该参数,则显示当前线程的调用堆栈。*显示所有线程的调用堆栈。

    b  显示每个函数的前3个参数。

    p  显示每个函数的所有参数。参数列表包括每个参数的类型、名称、值。

            如上图,可以看到函数的每个参数的类型,名称,值。但是这个需要有对应的符号文件(pdb),没有应用程序的符号文件只能显示系统API的参数信息。

    P  类似p。不同之处在于,每个参数显示在单独的行上面。

    n  显示调用堆栈中每帧的序号(一般称栈帧,如栈帧3)。

    FrameCount  指定显示调用堆栈的帧数,即调用堆栈的深度。默认为16进制格式。默认帧数为0x14=20

    2.2 切换到指定帧信息.frame

            调用堆栈显示出来之后,如果想知道调用某帧时的相关信息,可以使用.frame 来切换指定帧,然后就可以使用如dv命令显示局部变量等。

    .frame [/c] [/r] [FrameNumber]

    /c

    /r  显示执行该帧时寄存器的值。

    FrameNumber  指定要切换到的帧号。

    3. 实例分析

    kbn 显示堆栈信息:

    栈帧12
    调用add函数,参数1=00000001,参数2=000000002,EBP=0015fc0c
    根据图1得知,函数返回地址=EBP+4,我们使用dw命令来验证。

    参考:
    《软件调试》张银奎 著
    《格蠹汇编》张银奎 著
    《加密与解密》第三版 段刚编著
  • 相关阅读:
    Java接口的实现理解
    RDP |SSH |VNC简介
    关于彻底理解cookie,session,token的摘录,生动形象
    7.Reverse Integer  
    1.Two Sum
    图形化编程娱乐于教,Kittenblock实例,播放与录制声音
    图形化编程娱乐于教,Kittenblock实例,一只思考的变色猫
    内存条性能参数查询(任务8)
    任务8选配内存,重点解读兼容与接口的搭配技术,解读选配内存的过程
    图形化编程娱乐于教,Kittenblock实例,键盘操控角色
  • 原文地址:https://www.cnblogs.com/jiangxueqiao/p/7418131.html
Copyright © 2011-2022 走看看