Windbg查看函数调用过程中的内存布局

已于 2024-04-07 15:13:48 修改
阅读量634 收藏 14
点赞数 30
文章标签: 算法 数据结构
于 2024-04-07 15:08:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwei231/article/details/137355866
版权

     我们在分析问题的时候经常会需要查看进程的栈和帧中的值,下面我们就用一个简单的例子来分析一下这个过程。

源代码:

#include <iostream>
int add(int a, int b)
{
   return a + b;
}


int main()
{
    int a, b;
    a = 3;
    b = 4;
    int ret = add(a, b);
    std::cout << "Result:"<<ret<<"\t\n";
}

生成的汇编代码:

main 函数的汇编代码

 10 004c1000 55              push    ebp
   10 004c1001 8bec            mov     ebp,esp
   10 004c1003 83ec0c          sub     esp,0Ch
   12 004c1006 c745f803000000  mov     dword ptr [ebp-8],3
   13 004c100d c745fc04000000  mov     dword ptr [ebp-4],4
   14 004c1014 8b45fc          mov     eax,dword ptr [ebp-4]
   14 004c1017 50              push    eax
   14 004c1018 8b4df8          mov     ecx,dword ptr [ebp-8]
   14 004c101b 51              push    ecx
   14 004c101c e83f000000      call    statckTest!add (004c1060)
   14 004c1021 83c408          add     esp,8
   14 004c1024 8945f4          mov     dword ptr [ebp-0Ch],eax
   15 004c1027 6840314c00      push    offset statckTest!GS_ExceptionPointers+0x8 (004c3140)
   15 004c102c 8b55f4          mov     edx,dword ptr [ebp-0Ch]
   15 004c102f 52              push    edx
   15 004c1030 6844314c00      push    offset statckTest!std::_Fake_alloc+0x1 (004c3144)
   15 004c1035 a16c304c00      mov     eax,dword ptr [statckTest!_imp_?coutstd (004c306c)]
   15 004c103a 50              push    eax
   15 004c103b e8e0020000      call    statckTest!std::operator<<<std::char_traits<char> > (004c1320)
   15 004c1040 83c408          add     esp,8
   15 004c1043 8bc8            mov     ecx,eax
   15 004c1045 ff1540304c00    call    dword ptr [statckTest!_imp_??6?$basic_ostreamDU?$char_traitsDstdstdQAEAAV01HZ (004c3040)]
   15 004c104b 50              push    eax
   15 004c104c e8cf020000      call    statckTest!std::operator<<<std::char_traits<char> > (004c1320)
   15 004c1051 83c408          add     esp,8
   16 004c1054 33c0            xor     eax,eax
   16 004c1056 8be5            mov     esp,ebp
   16 004c1058 5d              pop     ebp
   16 004c1059 c3              ret

这段汇编代码是一个函数的一部分,它执行了以下操作:

  1. 函数开始

    • push ebp 和 mov ebp,esp:保存当前的栈指针(esp)到基指针(ebp),并设置ebp为当前栈指针的值。这是函数调用的标准开头,用于设置函数的局部变量和参数的基础地址。

  2. 局部变量分配

    • sub esp,0Ch:从栈指针中减去12(0Ch是十六进制的12),为局部变量分配空间。

  3. 初始化局部变量

    • mov dword ptr [ebp-8],3:将整数值3存储到ebp-8指向的局部变量中。
    • mov dword ptr [ebp-4],4:将整数值4存储到ebp-4指向的局部变量中。

  4. 函数调用准备

    • mov eax,dword ptr [ebp-4] 和 mov ecx,dword ptr [ebp-8]:将两个局部变量的值分别加载到eaxecx寄存器中。
    • push eax 和 push ecx:将这两个值压入栈中,作为add函数的参数。

  5. 函数调用

    • call statckTest!add (004c1060):调用名为add的函数,该函数可能位于004c1060地址处。

  6. 处理函数返回值

    • mov dword ptr [ebp-0Ch],eax:将add函数的返回值存储在ebp-0Ch指向的局部变量中。

  7. 异常处理准备

    • push offset statckTest!GS_ExceptionPointers+0x8:将GS_ExceptionPointers+0x8的地址压入栈中,可能是为了异常处理。
    • push dword ptr [ebp-0Ch]:将先前存储的add函数的返回值压入栈中。
    • push offset statckTest!std::_Fake_alloc+0x1:将std::_Fake_alloc+0x1的地址压入栈中,这可能与异常处理相关。

  8. 输出到控制台

    • mov eax,dword ptr [statckTest!_imp_?coutstd (004c306c)]:获取std::cout的地址,并将其存储在eax寄存器中。
    • push eax:将std::cout的地址压入栈中。
    • call statckTest!std::operator<<<std::char_traits<char> > (004c1320):调用std::operator<<来输出一个值到std::cout
    • 同样的操作重复了一次,可能是为了输出两个不同的值。

  9. 清理栈

    • add esp,8:调整栈指针,清理之前压入栈的参数。

  10. 函数结束

    • xor eax,eax:将eax寄存器清零,这通常是函数返回前的一个操作。
    • mov esp,ebp 和 pop ebp:恢复栈指针和基指针。
    • ret:从函数返回。

add 函数的汇编代码 

   18 004c1060 55              push    ebp
   18 004c1061 8bec            mov     ebp,esp
   19 004c1063 8b4508          mov     eax,dword ptr [ebp+8]
   19 004c1066 03450c          add     eax,dword ptr [ebp+0Ch]
   20 004c1069 5d              pop     ebp
   20 004c106a c3              ret

这段汇编代码是一个简单的函数,它执行以下操作:

  1. push ebp 和 mov ebp,esp:保存当前的栈指针(esp)到基指针(ebp),并设置ebp为当前栈指针的值。这是函数调用的标准开头,用于设置函数的局部变量和参数的基础地址。

  2. mov eax,dword ptr [ebp+8]:从ebp+8的地址处取出一个双字(32位)值,并将其存储到eax寄存器中。这通常意味着函数接收一个整数参数,该参数在栈上的位置是ebp+8

  3. add eax,dword ptr [ebp+0Ch]:从ebp+0Ch的地址处取出另一个双字值,并将其加到eax寄存器中的当前值上。这通常意味着函数接收另一个整数参数,该参数在栈上的位置是ebp+0Ch

  4. pop ebp:恢复基指针ebp的原始值。

  5. ret:从函数返回。由于eax寄存器现在包含两个参数的和,这通常意味着函数返回这两个参数的和作为结果。

函数调用过程的栈帧分布:

从main函数的汇编中我们可以看到调用函数add 的过程, 下面两句给局部变量在栈中分配内存

   12 004c1006 c745f803000000  mov     dword ptr [ebp-8],3
   13 004c100d c745fc04000000  mov     dword ptr [ebp-4],4

从中可以看到a 放在ebp-8 和b 放在ebp -4 这个地方。 


eax=765712f0 ebx=00c9d000 ecx=00000000 edx=00000000 esi=011fa0c8 edi=011fea68
eip=004c1006 esp=00f6fd70 ebp=00f6fd7c iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202

从中可以看到ebp=00f6fd7c,esp=00f6fd70,分配了12个字节的空间。

0:000> t
eax=00000004 ebx=00c9d000 ecx=00000000 edx=00000000 esi=011fa0c8 edi=011fea68
eip=004c1017 esp=00f6fd70 ebp=00f6fd7c iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
statckTest!main+0x17:
004c1017 50              push    eax
0:000> t
eax=00000004 ebx=00c9d000 ecx=00000000 edx=00000000 esi=011fa0c8 edi=011fea68
eip=004c1018 esp=00f6fd6c ebp=00f6fd7c iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
statckTest!main+0x18:
004c1018 8b4df8          mov     ecx,dword ptr [ebp-8] ss:002b:00f6fd74=00000003
0:000> t
eax=00000004 ebx=00c9d000 ecx=00000003 edx=00000000 esi=011fa0c8 edi=011fea68
eip=004c101b esp=00f6fd6c ebp=00f6fd7c iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
statckTest!main+0x1b:
004c101b 51              push    ecx
0:000> t
eax=00000004 ebx=00c9d000 ecx=00000003 edx=00000000 esi=011fa0c8 edi=011fea68
eip=004c101c esp=00f6fd68 ebp=00f6fd7c iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
statckTest!main+0x1c:
004c101c e83f000000      call    statckTest!add (004c1060)
0:000> dd 002b:00f6fd40
002b:00f6fd40  00f6fd60 7648abda 00000000 004c310c
002b:00f6fd50  00000000 004c1716 764a5406 00000001
002b:00f6fd60  00f6fd80 004c1726 00000003 00000004
002b:00f6fd70  00c9d000 00000003 00000004 00f6fdc4
002b:00f6fd80  004c1822 00000001 011fa0c8 011fea68
002b:00f6fd90  a7b8e129 004c18aa 004c18aa 00c9d000
002b:00f6fda0  00000000 00000000 00000000 00f6fd90
002b:00f6fdb0  00000000 00f6fe20 004c1fb5 a7022ab5

调用add 函数之前会把参数压入栈中

   14 004c1014 8b45fc          mov     eax,dword ptr [ebp-4]
   14 004c1017 50              push    eax
   14 004c1018 8b4df8          mov     ecx,dword ptr [ebp-8]
   14 004c101b 51              push    ecx
   14 004c101c e83f000000      call    statckTest!add (004c1060)

004c101c e83f000000      call    statckTest!add (004c1060)这条指令调用之前的main 函数堆栈

 进入add 函数之后的内存布局

002b:00f6fd40  00f6fd60 7648abda 00000000 004c310c
002b:00f6fd50  00000000 004c1716 764a5406 00000001
002b:00f6fd60  00f6fd7c 004c1021 00000003 00000004
002b:00f6fd70  00c9d000 00000003 00000004 00f6fdc4
002b:00f6fd80  004c1822 00000001 011fa0c8 011fea68
002b:00f6fd90  a7b8e129 004c18aa 004c18aa 00c9d000
002b:00f6fda0  00000000 00000000 00000000 00f6fd90
002b:00f6fdb0  00000000 00f6fe20 004c1fb5 a7022ab5

 

 函数的返回地址是 14 004c1021 83c408          add     esp,8 正好是add 函数调用完成之后下一条汇编的地址。

   14 004c1021 83c408          add     esp,8
   14 004c1024 8945f4          mov     dword ptr [ebp-0Ch],eax

上面两条是内存回收和将add 函数的返回值存贮在002b:00f6fd70 这个地址上面。

002b:00f6fd40  00f6fd60 7648abda 00000000 004c310c
002b:00f6fd50  00000000 004c1716 764a5406 00000001
002b:00f6fd60  00f6fd7c 004c1021 00000003 00000004
002b:00f6fd70  00000007 00000003 00000004 00f6fdc4
002b:00f6fd80  004c1822 00000001 011fa0c8 011fea68
002b:00f6fd90  a7b8e129 004c18aa 004c18aa 00c9d000
002b:00f6fda0  00000000 00000000 00000000 00f6fd90
002b:00f6fdb0  00000000 00f6fe20 004c1fb5 a7022ab5

完成之后函数的ebp 和esp 恢复到之前的状态。

本文简单介绍了c 语言函数调用过程中的内存布局,在我们分析dump文件或者实时查看内存布局的时候可以使用本文的方法。

备注:如果生成的exe 无法添加函数断点请在工程配置中设置如下(vistual studio)

cwei231
关注
  • 30
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Windbg排查C++程序内存泄漏问题
dvlinker的技术专栏
11-12 1万+
详细讲述如何使用Windbg去定位Windows C++程序内存泄漏。
开源WebRTC库放大器模式在采集桌面图像时遇到的DPI缩放与内存泄漏问题排查
热门推荐
dvlinker的技术专栏
06-10 3万+
详细讲述开源WebRTC库放大器模式在采集桌面图像时遇到的DPI缩放与内存泄漏问题的详细排查过程
12.windbg-!address、!vadump、!vprot(读取内存状态)
hgy413的专栏
05-14 1万+
!address !address 扩展显示目标进程或目标机使用的内存信息 这个学习起来比较简单:我们直接使用!address -?就可以找到它的使用说明: 0:000> !address -? !address - prints information on the entire address space !address -?
windbg 内存查看
CAir2的专栏
06-18 1029
1.内存查看命令(d) d{a|b|c|d|D|f|p|q|u|w|W} [Options] [Range] dy{b|d} [Options] [Range] d[Options] [Range] 1. a:ASCII码 2. b:字节和ASCII码 3. c:DWORD和ASCII码 4. d:DWORD 5. D:double 6. f:float 7. p:按指针宽度显示...
windbg内存查看(d*)
08-23 621
d*命令 d{a|b|c|d|D|f|p|q|u|w|W} Address [/c ColumuWidth] [l Length] Address:查看address地址处的内存。 ColumnWidth:Windbg每行显示的多少个数据单位。默认为16进制数字,十进制需加前缀0n Length:总共显示Address地址后的多少个数据单位。 如: db /c 0n32 06beee78...
Windbg检查内存泄漏
a1575386381的博客
06-12 898
Windows系统内存泄露与检测工具及方法1.检测需要使用的工具:windbg工具。检测前,需要先安装windbg工具。安装了该工具后,会在安装目录下有一个umdh工具。假设windbg安装在以下目录下:D:\Program Files\Debugging Tools for Windows (x86)2.内存泄露检测技巧 2.1 运行cmd窗口,将路径设置到安装路径下; 2.2 在该cmd窗口...
WinDBG查看内存的命令
weixin_33832340的博客
01-09 390
当我们在调试器分析问题时, 经常需要查看不同内存块的内容以分析产生的原因, 并且在随后验证所做出的假设是否正确. 由于各个对象的状态都是保存在内存的, 因此内存的内容也就相当于对象的状态.   d命令最常见的格式就是根据指定的类型信息来显示存储在某地址的数据. 调试器并不会去猜测这个地址上存储的是什么数据, 因为在大多数情况下猜测都是错误的. 所以需要用户显式地制定按照何种格式来解析数据....
WinDbg离线下载安装包 + 使用示例:Release崩溃crash找到出错的函数、行
10-22
在分析dmp文件时,WinDbg会查找对应的pdb文件来解析堆栈的地址,还原出函数调用链。 接着,map文件是链接器生成的,它记录了程序的内存布局、符号表和导出函数等信息。在没有pdb文件的情况下,map文件也能提供...
windbg安装包
12-20
- **内存查看**:查看和修改进程的内存空间,帮助发现内存相关问题。 - **寄存器查看**:查看和修改处理器寄存器的值,理解程序执行流程。 - **调用堆栈**:显示函数调用的层次结构,有助于追踪问题源头。 - **...
WinDbg_cmds.rar_windbg
09-14
- `lma`: 列出内存映射区,有助于理解进程的内存布局。 - `lm`: 列出模块,包括加载的动态链接库(DLL)。 - `r`: 显示寄存器当前值,包括CPU状态。 - `dt`: 显示类型定义,有助于理解数据结构。 3. **扩展命令...
windows 64位 内存泄漏抓包工具windbg
01-10
vs平台c++代码下64位内存泄漏抓包工具,本人因业务开发需要,经常使用,分享给大家,希望大家喜欢。
windbg使用
09-19
6. **内存查看**:使用`du`或`dv`命令可以查看内存地址的内容,`dd`则用于读取内存块。结合`dt`命令可以查看特定结构体的内存布局。 7. **线程与进程管理**:`!threads`展示所有线程状态,`~`命令可以切换到不同...
05-windbg工具定位内存问题-01
qq_37103755的博客
12-10 1545
windbg分析内存问题
使用 Windbg 的 !heap 命令分析内存泄漏
dvlinker的技术专栏
11-25 3501
使用 Windbg 的 !heap 命令分析内存泄漏。
WinDBG 用法详解(13)-内存分析
worthluyang的专栏
05-18 7046
      内存是软件工作的舞台,程序的代码必须先加载到内存才可以被CPU 所执行,程序的数据(变量)也主要是分配在内存的(极少数变量分配在寄存器)。除了外界因素外,程序的行为就是由它的代码和数据所决定的,程序的内存状态,决定了它的外在行为。很多时候,软件调试的目标就是为了搞清楚某个行为的内在根源,即所谓的根本原因(Root Cause)。观察和分析内存是寻找根本原因的最有效方式之一。   
windbg托管内存泄漏排查
最新发布
qq_26900081的博客
04-05 961
地址00000290a180就是找的溢出。String 类型的一般先不管,因为他一般都是被其他对象所持有的。dumpheap -mt 7ffa056e60a8 查看方法表对于的实例地址和占用内存大小。数据量太大这里会卡死一段时间,可以考虑出现一部分内容后截图,关掉windbg重开。随便找一个或多个Address来查看他的引用根,就知道是谁在溢出了。7、如果还找不到哪里的问题(比如第三方dll有问题),可以找到具体的代码位置。dumpobj /d 00000290a180 查看一下这个对象实例。
win Dbg 分析.NET 内存占用情况
canyanol的博客
05-19 951
需要强调的是,在查看和理解WinDbg和SOS提供的数据时,要确保对.NET框架和CLR运行时内部机制有足够的了解。如果需要查看某个模块的内存使用情况,可以在 WinDbg 命令行输入“lm vm [module]”,其 [module] 是需要分析的模块名,可以查看该模块的基地址、大小、代码段、数据段等信息。可以使用“File”菜单的“Attach to a Process”选项或键入命令“.attach ” (为目标进程的进程ID)来实现。在 WinDbg 命令行输入“!
windbg排查大内存
weixin_30307921的博客
01-16 302
现在都是用windbg preview,安装比较麻烦了,还要配置环境变量, 并且每次分析前要先执行 !analyze - v !eeheap -gc !DumpHeap -min 500 000002b25e781000 000002b2da6f8af0 ①!analyze - v ②kP ...
【Windows】如何使用Windbg检测Windows程序内存泄漏
Michael
05-06 2584
需要注意的是,使用Windbg检测内存泄漏需要一定的调试经验和技巧,对程序的性能也会产生一定的影响。该命令会输出程序的堆内存使用情况,包括已分配的内存块数量、已释放的内存块数量、已分配的内存块总大小、已释放的内存块总大小等信息。启动程序:使用Windbg启动需要检测内存泄漏的程序,可以通过在Windbg选择“文件”->“打开程序”来打开程序。该命令会输出程序所有未释放的内存块的信息,包括内存块的大小、地址、分配位置等信息。运行程序:在Windbg,可以通过输入“g”命令来运行程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值