windbg 观察栈

最新推荐文章于 2024-03-08 10:39:47 发布
最新推荐文章于 2024-03-08 10:39:47 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: windbg 文章标签: windbg 栈回溯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CAir2/article/details/92790707
版权
1.显示栈回溯(k)

k命令选项

f:显示相邻两个栈的内存距离
L:屏蔽源文件信息

k:
在这里插入图片描述

命令k输出解析:
每行代表一个函数,也就是一个栈帧。
第一列:栈帧基址。
第二列:函数返回地址
第三列:函数名和执行位置,之后是源文件信息。@符号后面的数字表示当前源文件所在的行。
k命令增加参数L可以屏蔽源文件信息。

kb:显示栈上的前三个参数(不一定是参数,仅仅是三个固定位置的值)
在这里插入图片描述
kp:根据pdb显示函数原型,如果不包含私有符号则不显示任何参数
在这里插入图片描述
kv:在kb的基础上增加FPO信息和调用协议
在这里插入图片描述
kn:显示栈序号
在这里插入图片描述

2.并发堆栈

并发堆栈,首先我们需要知道有多少线程。
~*:查看所有线程
在这里插入图片描述
~.kp:查看当前线程调用堆栈
在这里插入图片描述
~nkp:查看指定线程调用堆栈(n为线程序号)
在这里插入图片描述
~*kp:查看所有线程调用堆栈
在这里插入图片描述

3.观察栈变量(dv)

dv 查看当前帧的变量
在这里插入图片描述
prv:表示private,私有符号产生的。
local:表示局部变量
param:表示参数变量
第三列:变量内存起始地址
第四列:栈基地址
第五列:变量类型
第六列:变量值

切换帧(.frame)

.frame 帧序号,当前帧默认是0,帧的序号可以使用kn查看。

在这里插入图片描述

CAir2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windbg可以看到Visual Studio中看不到的有效函数调用堆
dvlinker的技术专栏
11-19 1万+
Visual Studio中看不到有效的函数调用堆,用Windbg调试可以看到
windbg的使用方法
10-30
4. `k` 系列命令观察,`bp`, `ba` 设置断点,`bl`, `bc`, `bd`, `be` 管理断点。 5. `~` 命令显示和操作线程,`l` 命令显示进程信息。 6. `?` 和 `??` 评估表达式,`a` 汇编,`u` 反汇编,`dg` 查看段选择子,`$` ...
Windbg查看调用堆(k*)
08-23 796
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆。学会windbg调用堆命令,以及理解堆中的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
WinDbg使用笔记
最新发布
u010551008的博客
03-08 250
Windbg是Windows上的基础调试器,异常强大,几乎可以用于解决Windows系统问题以及Windows应用程序问题。本篇是以往学习使用中积累的命令集合,作为今后参考。
Windbg -- 查看调用堆
热门推荐
while(1) { smile(); }
02-12 9万+
一. 显示堆信息 k*命令 [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr StackPtr Instr...
Windbg_10-查看堆
qq_33168924的博客
11-25 3296
1.内容概要: 堆的作用 查看堆的命令 1.1 :程序堆的结构: push,pop call, ret等能直接或间接改变sp,bp寄存器的值的指令都会改变的结构。 一个线程拥有一个独立的,线程执行函数,为每个函数开辟帧,函数退出则关闭该函数 的帧,回收空间,结构可以让调试器回溯出函数的调用关系,的结构如下: 1.2:windbg中的堆命令: 简单介绍常用三个: 注意:...
使用windbg观察
hb_zxl的专栏
04-05 639
清明时节没出门,在B站上发现一个windbg教程,学习了堆一段 https://www.bilibili.com/video/BV1j5411P7Tp?t=150 1.B站内容 Introduction to Windbg Series 1 Part 8 - Commands k for callstack or stackback Basic commands for windbg - kConcept of Callstack -Callstack is the most important i
14.windbg-k、u、x(堆查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆,以及其他相关信息~0 k表示打印0号线程的调用堆,直接用k表示打印当前线程的调用堆0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
windbg图形工具 dump分析工具
06-26
- Debugging:调试是通过运行代码并观察其行为来查找错误的过程。Windbg作为调试器,可以暂停程序执行,检查内存、变量、调用堆等信息。 2. Windbg的主要功能: - 分析Dump文件:通过加载Dump文件,Windbg能...
WinDebug用法详解
09-19
WinDBG 是个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户 态调试、 内核态调试、 ...制调试目标(第 6 节)、设置断点(第 7 节)、观察(第 8 节)以及如何观察和修改数据(第 9 节)。
【技术分享】明查OS实现UAC验证全流程—三个进程间的_情爱_[2] .pdf
09-05
文章中提到,通过挂载调试器(如Windbg观察调用是找出AIS进行RPC通信起点的有效方法。调试器可以帮助我们追踪进程间的交互,特别是服务进程,如AIS,它作为一个服务运行在svchost进程中。 调试步骤如下: 1. ...
Qt creator 调试器
03-03
2. **数据观察点**:设置数据观察点可以在特定变量发生变化时触发调试器停止。 3. **堆回溯**:通过`.callstack`命令查看函数调用,有助于找出问题所在的位置。 4. **调试日志输出**:使用WinDbg的KD扩展,可以...
windbg - 查看调用
tuan8888888的博客
02-08 1445
在分析崩溃时候,经常会查看调用,正确理解调用中的各字段的含义对于排查问题至关重要,所以本篇重点介绍下,如何查看调用。 查看调用,kb 如下图 调用命令,可以观看官方文档 :https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/k--kb--kc--kd--kp--kp--kv--display-stack-backtrace- ||2:2:196> kb *** Stack trace for las.
利用WinDbg查看堆中方法入参的值4(C#)
zxy13826134783的博客
06-11 1336
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。可以看到方法WindbgDemo.DownLoadBp.DownLoadOperation中的参数名称为url,对应的值的地址为:0x0000000003222bd8。本文目的,就是查看导出的dump文件中堆中的方法参数值,这样方便后续分析问题。threads查看线程。
windbg】调用分析
xl19900502的专栏
04-14 852
一些心得和说明 windbg 还不熟,如有错误,请指正。 调用鼓捣了好久,一直没整明白。每次都打算弄明白,结果还是...(泪目啊)。今天,不慌不忙的,把windbg的打印信息都copy出来,再把 ebp、esp、eip都挑出来,看它们的地址变化,然后再,整个表格,看他们是怎么跳转的... 再参考下 对于ESP、EBP寄存器的理解,慢慢的就有头绪了,所以,一定要有耐心,心细梳理。 图 01 创建MFC程序 创建MFC程序,使用以下代码。(参考:对于ESP、EBP寄存器的理解) int FunA
WinDbg命令详解--
Arbboter的专栏
03-17 1868
k指令单独使用时,只显示地址、返回地址、函数名信息。如果需要其他信息需要使用参数,常见的有: b 显示函数调用时的前三个参数 c 只显示函数名 p 显示函数的所有参数,包括参数的名字、类型、值。 v 显示帧指针遗漏(FPO)信息。在基于x86处理器, 显示器还包括调用约定信息 n 显示调用的每帧编号 f 显示调用的每帧占用字节数 默认情况下使用k显
windbg汇编函数堆知识
u012910342的博客
03-06 488
使用windbg分析CPU、内存、崩溃、调试等,难免会遇到汇编代码,尤其堆信息。指令码和汇编一一对应。除了汇编、C/C++程序编译的二进制文件是CPU识别的指令码。其它C#、JAVA编译后的二进制文件,都是自身语言的解释性指令,运行过程,还需要解析成CPU识别的指令码,才能被执行。
windbg 断点+单步
CAir2的专栏
06-18 4173
1.设置断点 bp,bu,bm 软中断 [~td] bp[ID] [Options] [Address[Passess]] ['CommandString'] ~td:线程序号。如果设置了线程序号,则只有当该线程调用才会触发断点。 ID:断点编号,如果不指定则从0开始编排 Address:断点地址,eg:TestModals 模块的Func 函数 TestModals!Func Passess:...
windbg 内存搜索 s
CAir2的专栏
07-23 2243
s 内存搜索。 具体更复杂的的s命令可以通过.hh查看该命令具体介绍。 索索指定范围内的字符串 s -sa Range#搜索Range范围内的ansi字符串 s -su Range#搜索Range范围内的unicode字符串 s -a Range text#搜索Range范围内的指定的ansi字符串 s -a Range text#搜索Range范围内的指定的unicode字符串 eg:搜索起始地址为00fc0000 ,长度为0x100范围内的ansi字符串 s -sa 00fc0000 00f
Windbg中文调试手册
04-26
"Windbg中文调试手册提供了关于安装、使用和调试Windows操作系统的详细指南,特别是针对Windbg这款强大的调试工具。Windbg是用于分析故障转储、调试用户模式和内核模式代码的重要工具,支持最新的操作系统版本和多种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值