windbg 栈处理函数调用的过程(做一次记录)

最新推荐文章于 2024-05-22 18:53:43 发布
VIP文章 最新推荐文章于 2024-05-22 18:53:43 发布
阅读量577 收藏
点赞数 1
分类专栏: windbg 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fei1160688828/article/details/122114130
版权

这里写自定义目录标题

在这里插入图片描述

main函数的汇编

 HiStack!main:
00e51080 55             push    ebp
00e51081 8bec           mov     ebp, esp
00e51083 6a7a           push    7Ah
00e51085 e886ffffff     call    HiStack!Proc (00e51010)
00e5108a 5d             pop     ebp
00e5108b c3             ret     
00e5108c cc             int     3
00e5108d cc             int     3
00e5108e cc             int     3
00e5108f cc             int     3

Proc的汇编函数

00e51010 55             push    ebp
00e51011 8bec           mov     ebp, esp
00e51013 51             push    ecx
00e51014 8b4508         mov     eax, dword ptr [ebp+8]
00e51017 8945fc         mov     dword ptr [ebp-4], eax
00e5101a 8b4dfc         mov     ecx, dword ptr [ebp-4]
00e5101d 51             push    ecx
00e5101e 8b5508         mov     edx, dword ptr [ebp+8]
00e51021 52             push    edx
00e51022 6890f1e800     push    offset HiStack!`string' (00e8f190)
00e51027 e864000000     call    HiStack!printf (00e51090)
00e5102c 83c40c         add     esp, 0Ch
00e5102f 8b4508         mov     eax, dword ptr [ebp+8]
00e51032 0faf45fc       imul    eax, dword ptr [ebp-4]
00e51036 8be5           mov     esp, ebp
00e51038 5d             pop     ebp
00e51039 c20400         ret     4

Windbg 分析过程

Microsoft ® Windows Debugger Version 10.0.20153.1000 X86
Copyright © Microsoft Corporation. All rights reserved.

CommandLine: D:\advdbg\Adwdbcode_tools\swdbgbk_src\bin\Release\HiStack.exe

************* Path validation summary **************
Response Time (ms) Location
OK D:\mysymbols
Symbol search path is: D:\mysymbols
Executable search path is:
*** WARNING: Unable to verify checksum for HiStack.exe
ModLoad: 00e50000 00e9e000 HiStack.exe
*** ERROR: Module load completed but symbols could not be loaded for ntdll.dll
ModLoad: 770f0000 7728a000 ntdll.dll
*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\SysWOW64\KERNEL32.DLL
ModLoad: 76930000 76a10000 C:\Windows\SysWOW64\KERNEL32.DLL
*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\SysWOW64\KERNELBASE.dll
ModLoad: 76db0000 76faf000 C:\Windows\SysWOW64\KERNELBASE.dll
(4c78.4ef0): Break instruction exception - code 80000003 (first chance)
eax=00000000 ebx=0117f000 ecx=f8d50000 edx=00000000 esi=013e22b8 edi=770f687c
eip=7719ecc2 esp=012ff5ac ebp=012ff5d8 iopl=0 nv up ei pl zr na pe nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000246
ntdll!LdrpDoDebuggerBreak+0x2b:
7719ecc2 cc int 3

0:000> g
Breakpoint 0 hit
eax=013e8d68 ebx=0117f000 ecx=00000000 edx=742f4c58 esi=00e99748 edi=013e6a28
eip=00e51080 esp=012ffab8 ebp=012ffafc iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
HiStack!main:
00e51080 55              push    ebp

0:000> r ebp,esp
ebp=012ffafc esp=012ffab8在这里插入代码片

0:000> !teb
TEB at 01182000
    ExceptionList:        012ffaec
    StackBase:            01300000
    StackLimit:           012fd000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 01182000
    EnvironmentPointer:   00000000
    ClientId:             00004c78 . 00004ef0
    RpcHandle:            00000000
    Tls Storage:          0118202c
    PEB Address:          0117f000
    LastErrorValue:       0
    LastStatusValue:      0
    Count Owned Locks:    0
    HardErrorMode:        0

0:000> kbn
 # ChildEBP RetAddr      Args to Child              
00 012ffab4 00e5128f     00000001 013e6a28 013e8d68 HiStack!main [d:\advdbg\adwdbcode_tools\swdbgbk_src\chap22\histack\histack.cpp @ 14] 
01 (In
最低0.47元/天 解锁文章
fei1160688828
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
汇编开源(一)纯汇编无DLL命令调用核心功能/找图/图像处理-易语言
06-14
本人曾经是速度追求极端分子,曾经花过三四年时间,潜心把易语言 的一些核心命令以及一些自己曾经项目上用到的一些功能,为了追求速度最大化,基本全部都用汇编了一遍 今天开源的这个模块只是本人手中的一小部分汇编源码,但是里面也有很多东西需要跟你们介绍一下. 1.核心必备程序集 这部分,完全是通过汇编解析系统几个核心dll的命令 能达到免申明dll命令,直接调用,里面很多函数是基本跳过dll本身的函数入口,直接push参数call到驱动入口处(当初为了追踪这些dll特意用虚拟机windbg了xp系统大部分函数,有懂的可以去看看里面的KiZwOpenProcess 函数 ),为此可以躲过程序在一些调试软件里面被API断点拦截,还有一些拦截鼠标键盘模拟的安全软件或者游戏反辅助的检测.(当然以前这招有效,现在有没有效,没测了),里面还有一个内存加载dll功能,实现dll不落地直接使用里面的dll命令兼容任何系统.这一部分介绍有点多,省这点继续看下一个介绍 2图像处理/找图 通过纯汇编,创建位图,截取窗口位图,汇编二值化位图,汇编浮雕位图,汇编位图去杂点等等这些命令,非常实用在位图识别,位图找字,找色等,速度我不敢说第一,但是想求你们找一个第一把我比下去.找图功能方面,都是100%的纯汇编代码,无任何杂质.注意一下缺点,就是理论上只能处理24位 32位的位图 3鼠键操作 这块也是通过汇编方式,绕过dll函数,直达驱动外壳调用.一般软件断点不到鼠键函数 其他一些汇编命令,虽然功能不强,但是也比较常用,或者重复使用次数比较多,速度上能节省一点,那就说明软件运行就更快一些.个人这些命令之前,基本都拿易语言对应的命令测试过速度,大部分都是有很明显的速度提升的.
软件调试及windbg应用
11-16
PE文件 内存分布(堆、) 入口地址(0x400000 0x10000000) 函数调用类型 Stdcall thiscall cdecl fastcall ... 函数桢 参数的传递 入口参数地址,函数返回地址,内部临时空间
麻烦帮忙看下这个dmp错误的原因
weixin_44812175的博客
03-29 3885
This dump file has an exception of interest stored in it. The stored exception information can be accessed via .ecxr. (7e8.59c): Access violation - code c0000005 (first/second chance not available) ea...
大佬们,球球了帮忙看一下我这个蓝屏问题到底怎么回事吧
CHENXiNNNX的博客
12-12 720
救救了帮忙分析下文件
ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Loading Kernel Symbols
myisitz的博客
01-17 6952
电脑蓝屏问题ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Loading Kernel Symbols 1.先找出蓝屏日志:C:\Windows\Minidumpc 2.此文件记录了蓝屏的具体原因,由于是dmp文件,这里我是用的是windbg工具进行解析,此工具可以在腾讯安全管家里面下载 3.下载好后打开软件,将dmp文件拖进去即可,以下是解析出来的文件信息 4.查看具体原因 这里说的是:无
Module load completed but symbols could not be loaded
wxqian25的专栏
05-29 2万+
1、 http://forum.sysinternals.com/windbg-symbols-could-not-be-loaded_topic13838.html ask: I am debugging a driver in the primitive state using windbg with 2systems. Initially, Ihad some problems ge
Debugging using Windbg : Symbols loading
wxqian25的专栏
06-04 1196
This post explains how to use program symbol files to debug applications or kernel drivers on Windows operating system.On Windows platform, the program symbols are stored in a separate file. These f
windbg的相关问题
lengye7的博客
03-28 539
一、windbg的符号配置         symbol file path:C:\mysymbols;C:\Symbols;SRV*C:\WINDOWS\Symbols*http://msdl.microsoft.com/download/symbols 二、local  kernel        由于杀软的原因,阻止windbg不能读内核,因此会出现  WARNING: Inacce
74.windbg-wt(运行并统计函数调用)
hgy413的专栏
06-04 1571
wt(运行并统计函数调用)
Windbg】记一次线程卡主的问题.doc
07-12
通过分析线程的调用,发现卡主的线程是在等待 socket 数据,并且该函数不是我们负责的,是底层的人负责的。但是,通过分析发现,这个函数存在逻辑错误,导致了死循环。 在分析过程中,我们使用了多种 Windbg 命令...
易语言纯汇编无DLL命令调用核心功能/找图/图像处理源码
06-05
能达到免申明dll命令,直接调用,里面很多函数是基本跳过dll本身的函数入口,直接push参数call到驱动入口处(当初为了追踪这些dll特意用虚拟机windbg了xp系统大部分函数,有懂的可以去看看里面的 KiZwOpenProcess函数 ),...
易语言-易语言纯汇编无DLL命令调用核心功能/找图/图像处理
06-25
能达到免申明dll命令,直接调用,里面很多函数是基本跳过dll本身的函数入口,直接push参数call到驱动入口处(当初为了追踪这些dll特意用虚拟机windbg了xp系统大部分函数,有懂的可以去看看里面的 KiZwOpenProcess函数 ),...
Windbg调试命令详解
Boy_Kris的专栏
02-28 2423
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
解决windbg无法加载ntdll符号的问题
ma_de_hao_mei_le的博客
07-16 1707
将debugee的C\windows\syswow64中的ntdll拷贝到debugger的本地随便一个目录,只要别在symbolpath中就行。然后把这个目录添加到imagefilepath里面(Ctrl+I)我这里调试的是64bit操作系统的内核。然后执行如下两条命令即可。...
52.windbg-Call Function调试技巧(调用函数)
hgy413的专栏
07-03 4034
.call 命令使得目标进程执行一个函数。 语法 .call [/v] Function( Arguments )  .call /c  .call /C  .call /s Prototype Function( Arguments ) 指定函数是被当前进程的当前线程调用的。 只支持 cdecl、 stdcall、 fastcall和thiscall 调用
14.windbg-k、u、x(堆查看、汇编查看、函数查找)
热门推荐
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用,以及其他相关信息~0 k表示打印0号线程的调用,直接用k表示打印当前线程的调用0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
windbg - 查看调用
tuan8888888的博客
02-08 1382
在分析崩溃时候,经常会查看调用,正确理解调用中的各字段的含义对于排查问题至关重要,所以本篇重点介绍下,如何查看调用。 查看调用,kb 如下图 调用命令,可以观看官方文档 :https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/k--kb--kc--kd--kp--kp--kv--display-stack-backtrace- ||2:2:196> kb *** Stack trace for las.
C 语言实例 - 循环输出26个字母
最新发布
学习日常分享
05-22 315
循环输出 26 个字母。以下例子我们用变量 letter 来存储当前要输出的字母,然后,使用 for 循环来重复 26 次输出字母,并在每个字母后面加一个空格。循环内部使用 printf 函数来输出 letter 变量的值,%c 是 printf 的格式控制符,用于输出一个字符。
WinDbg查找某个软件功能使用那个函数
06-13
6. 输入“k”,以查看当前函数调用信息。 7. 根据调用信息,可以追踪到目标方法被调用的路径和调用者信息。 需要注意的是,这种方法比较繁琐,需要对 WinDbg 的使用有一定的了解和经验。另外,如果目标软件是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值