迄今我最喜欢的一段代码-栈回溯

最新推荐文章于 2023-02-04 13:06:48 发布
最新推荐文章于 2023-02-04 13:06:48 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 深造之旅 文章标签: 编译器 线程 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/49865179
版权

查看被调试进程指定线程的栈回溯信息的方法,除了直接从TEB中找相关结构获取信息外,还可以利用栈帧关系来回溯父辈函数.

原理是大部分编译器生成的win32汇编代码在新的call的开始使用如下方式保护栈帧:

push ebp
mov  ebp,esp

执行过这两条指令后,ebp实际上指向的是被push的ebp的位置.

栈回溯

利用这个技巧,我们就可以遍历所有栈帧的ebp.又因为上图的关系,我们可以利用Ebp的位置计算出上个函数的返回地址.进而完成栈回溯.

当然还有一个问题,什么时候停止?用户模块的第一个栈桢中ebp的值是0.所以当我们发现ebp的值为0时即可认为栈回溯完成.

//栈回溯递归搜寻
void kRecur(DWORD* dwEbp)
{
    if(nullptr==dwEbp)
    {return;}

    DWORD dwNewEbp=0;

    if( false==ReadDebuggedMemory((PVOID)dwEbp,4,_Out_ (BYTE*)(&dwNewEbp)))
    {
        return ;
    }

    DWORD dwFunReturnPath=0;

    if (false==ReadDebuggedMemory((PVOID)(dwEbp+1),4,_Out_ (BYTE*)(&dwFunReturnPath)))
    {

        return;
    }
    //printf("函数返回地址:%p\r\n",(DWORD)dwFunReturnPath);

    if (0!=(DWORD)dwNewEbp)
    {
        kRecur((DWORD*)dwNewEbp);
    }


    return ;

}

值得注意的是上面的ReadDebuggedMemory()是我们自己对系统API进行的封装:
其中g_hProc是被调试进程的句柄.

/*
//用途:
通用读被调试者内存函数.读失败不做改变权限尝试.
//参数:

//起始读地址
LPVOID  lpAddress   
//希望获得目标进程指定地址内存内容字节的数量
DWORD   dwGetNumber 
//用于存放获取内容的地方.例如:BYTE byA[20]中的byA
_Out_   BYTE* wcGetValue

//返回值   
成功   true
读失败 false
*/

bool ReadDebuggedMemory(LPVOID lpAddress,DWORD dwGetNumber,_Out_ BYTE* wcGetValue)
{

    DWORD   dwRetN      = 0;

    if(!ReadProcessMemory(g_hProc,lpAddress,wcGetValue,dwGetNumber,&dwRetN))
    {
        return false;
    }
    return true;
}

2015年11月16日 14:05:55

dalerkd
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《软件调试》关于 回溯 的源代码
03-24
《软件调试》关于 回溯 的源代码 回溯 《软件调试》 源代码 stackwalk
回溯----X64
商少
06-19 2802
通过X64-SEH 的学习(http://blog.csdn.net/qq_18218335/article/details/72722320)我们知道了一个函数RtlVirtualUnwind,虚拟展开函数,该函数根据epilog 和 prolog 进行虚拟的寄存器操作(在一个CONTEXT结构体中),函数执行完,CONTEXT结构体中即为函数虚拟执行完后寄存器应该有的状态,其中rip 和 rs
深入理解Windows X64调试
weixin_30686845的博客
08-28 849
随着64位操作系统的普及,都开始大力进军x64,X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享。 本文属于译文,英文原文链接:http://www.codemachine.com/article_x64deepdive.html 翻译原文地址:深入Windows X64 调试 在正式开始这...
Windows x64 帧结构
weixin_30748995的博客
08-07 335
0x01 前言   Windows 64位下函数调用约定变为了快速调用约定,前4个参数采用rcx、rdx、r8、r9传递,多余的参数从右向左依次使用堆传递。本次文章是对于Windows 64位下函数调用的分析,分析各种参数情况下调用者和被调用函数的结构。 0x02 4参数时函数调用流程 64位下函数的调用约定全部用FASTCALL,就是前4个参数依次用rcx,rdx,r8,r...
arm32回溯原理学习以及示例代码
深海
02-04 988
简单介绍下传统回溯原理,方便理解。
一种新型的容错匿名链接代码-研究论文
05-19
匿名链接代码是用于链接来自不同来源的数据的加密密钥。 到目前为止,基于姓名和出生日期等个人特征生成此类代码的相当简单的算法已普遍使用。 当面对基础标识符值中的错误时,这些算法将产生许多不匹配的代码。 ...
swift-VKRSA-迄今最好的iOS原生RSA库性能高使用简单
08-15
VKRSA-迄今最好的iOS原生RSA库,性能高,使用简单
matlab非参数代码-Projects:项目
06-08
matlab非参数代码我是 Saurabh Maheshwari,在加州大学戴维斯分校攻读统计学硕士学位,硕士学位是交通工程。 我在孟买印度理工学院完成了本科学位,在那里我对数据科学的热情不断发展。 目前作为一名研究生研究员,...
ChatGPT 之父:GPT-4 是人类迄今最复杂的软件
04-04
Altman 告诉我们,GPT-4 是人类迄今所实现的最复杂的软件,那 GPT-4 背后的 OpenAI 为什么这么强?Altman 总结了一下。首先是做事的态度是探求真理(truth seeking),做一切能达成最优表现的事,不管它是否优雅。就...
c#.net 迄今最实用键盘钩子实例
06-07
c#.net 迄今最实用键盘钩子实例
简单的回溯 & 简单的回溯欺骗 -- 简单分析
热门推荐
astrotycoon
11-11 1万+
原文地址在: http://hi.baidu.com/iceboy_/item/924f349e10c9fbcfb62531f7# 对于我这样的新手好长时间才看懂,本文就那篇文章中的程序来简单分析一下。程序如下: #include #include #include #pragma warning(disable: 4311 4312 4313) int fake_ebp
回溯(stack trace)原理
软件调试的变革
07-30 9606
当使用windbg时,最常用的命令就是'K', 回溯。那么是怎么实现回溯的呢,下面简单介绍一下。 首先要了解我们所编译出来的EXE或者DLL的调试信息都是包含在PDB文件中的,PDB文件可由编译器来产生。在回溯中使用的API都是来自动态库DbgHelp.dll中的,当然你
回溯技术
knight
06-06 8189
回溯技术arm_v5t_le版 From:韦东山 2007.04.03回溯技术及uClibc的堆实现原理.doc 1.    前言 段错误、非法地址访问等问题导致程序崩溃的现象屡屡发生,如果能找到发生错误的函数,往往一眼就能看出BUG所在——对于这类比较简单的问题,比如使用空指针进行读写等,利用回溯技术可以很快定位。但是对于数组溢出、内存泄漏等问题导致的程序错误,往往隐藏很深,它们并不
标准的一份回溯代码
落笔飞花笑百生的博客
04-27 1048
 include 'win32ax.inc' use32 entry start start: invoke getmodule,"ntdll.dll" invoke getproc,eax,"RtlWalkFrameChain" mov dword [walk],eax invoke walk,fuck,100,0 mov dword[stackcount],eax mo
AARCH64平台的回溯
ashimida
12-08 3568
一、术语解释: 1.顶/底[1]: 中最后一个push,第一个被pop的位置是顶;中最后一个被pop,且pop后当前为空的位置是底; 2.Current Function Frame Address[2]: 当前函数帧,在aarch64中是当前函数执行完prologue后的顶地址, 其可以通过__builtin_frame_address(0)函数获取. 3.Canonical Frame Address(CFA)[3]:标准/规范帧地址,在aarch64中是当前...
怎么从代码中拿到回溯信息(call stack trace)
weixin_30293135的博客
06-22 170
博客搬到了fresky.github.io - Dawei XU,请各位看官挪步。最新的一篇是:怎么从代码中拿到回溯信息(call stack trace)。 转载于:https://www.cnblogs.com/fresky/p/4592861.html...
OD用回溯法找程序流程点
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
02-11 6543
前言看别人操作时, 人家能通过回溯,找到流程点(e.g. Show Dialog, Click Button) 我自己做的时候, 和人家的上下文不一样. 自己做了下试验, 原来必须要用trace into(CTRL+F11), 才行.记录程序启动后, 在流程点即将进行前, 在OD中先停住, 打开run trace, 再trace into, 然后在进行流程操作. 等流程进行完(e
韦东山视频
时刻学习
08-25 8361
视频的章节和要点: 第一部分 ARM体系结构与裸机实验 韦东山Linux视频第1期 第01课 环境搭建及工具、概念介绍 第1部分的细化,以后就在Linux上工作了,环境必须先建好 第02课 GPIO实验 写出第1个裸板程序,掌握几条汇编指令,汇编怎么调用C 知道怎么操作GPIO,了
Tips of Ollydbg 查看调用堆、交叉引用
Sven的忘却日记
09-23 4994
0) ALT+K 查看调用堆 使用od破解软件时,经常会用到回溯的方法,假设我们现在所在main个函数的入口点 使用alt+k来查看此函数的父级调用 堆调用窗口显示的每一行,代表从上一层函数,进入当前函数的入口,这个功能缺点就是只能在程序运行到某个函数中,并且断下来后,才能使用。 1) CTRL+K 假设我们有这样的需求,我不想运行到某个函数,只想查看该函数的调用关系。 我想知道谁...
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
最新发布
09-04
关于SSL/TLS RC4信息泄露漏洞(CVE-2013-2566),它是指对使用RC4...请注意,该漏洞是在2013年被公开披露的,迄今已经有了更多的安全改进和更新。因此,确保您的系统和软件都是最新版本是保护自身安全的重要步骤之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值