使用windbg观察栈

最新推荐文章于 2024-03-07 11:57:59 发布
最新推荐文章于 2024-03-07 11:57:59 发布
阅读量645 收藏
点赞数 2
分类专栏: C++ 笔记 debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hb_zxl/article/details/115437077
版权
C++ 同时被 3 个专栏收录
25 篇文章 0 订阅
订阅专栏
debug
7 篇文章 0 订阅
订阅专栏
笔记
5 篇文章 0 订阅
订阅专栏

清明时节没出门,在B站上发现一个windbg教程,学习了堆栈一段

https://www.bilibili.com/video/BV1j5411P7Tp?t=150

1.B站内容

Introduction to Windbg Series 1 Part 8 - Commands k for callstack or stackback
Basic commands for windbg - k
Concept of Callstack
-Callstack is the most important information for any kind of debugging.
-Stack of functions.  -- 栈属于函数
-A callstack is there for each thread in the OS. -- 每个线程都有
-k is the command for callstack
-Many variants - kb,kvn,kM   --几个常用变种
-Take 3 inputs optional which is esp,eip and ebp which is useful in some case like stack corruption. ---和参数相关的几个重要寄存器
-Correct symbols are needed to show the stack correctly. --符号很重要
-Works in both kernel mode and user mode.
然后是一个DEMO,kCmd演示:

2 什么是栈

为加强理解,又拿出张银奎老师的巨著《软件调试》读了第22章节 栈和函数调用

什么是栈?

从数据结构角度,栈是用来存储数据的容器,放入数据称为push,取数据称为pop,存取数据的一条基本规则是后进先出LIFO

对基于栈的计算机系统而言,栈是存储局部变量和进行函数调用所比不可少的连续内存区域。x86系统,栈是朝低地址生长的。

ESP指向栈顶

一个普通的用户线程都有两个栈:内核态栈和用户态栈

挖雷小程序演示,需要使用windbg 6.12  x86,用windbg 10.x x86不行,找不到IP counter
open winmine.exe
ntdll!LdrpDoDebuggerBreak+0x2c:
772a10a6 cc              int     3
进入第一个断点
0:000> k
ChildEBP RetAddr  
000cfb34 77280ff3 ntdll!LdrpDoDebuggerBreak+0x2c
000cfcb0 77249f31 ntdll!LdrpInitializeProcess+0x12ce
000cfd00 77239799 ntdll!_LdrpInitialize+0x78
000cfd10 00000000 ntdll!LdrInitializeThunk+0x10
0:000> !teb
TEB at 7efdd000
    ExceptionList:        000cfb24
    StackBase:            000d0000
    StackLimit:           000cc000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 7efdd000
    EnvironmentPointer:   00000000
    ClientId:             00002dec . 00002c28
    RpcHandle:            00000000
    Tls Storage:          7efdd02c
    PEB Address:          7efde000
    LastErrorValue:       0
    LastStatusValue:      0
    Count Owned Locks:    0
    HardErrorMode:        0
显示线程栈的结构
0:000> dd 000cc000-10
000cbff0  ???????? ???????? ???????? ????????
000cc000  00000000 00000000 00000000 00000000
000cc010  00000000 00000000 00000000 00000000
000cc020  00000000 00000000 00000000 00000000
000cc030  00000000 00000000 00000000 00000000
000cc040  00000000 00000000 00000000 00000000
000cc050  00000000 00000000 00000000 00000000
000cc060  00000000 00000000 00000000 00000000
StackLimit 更低的地址是没有分配的,所以是?号,不可读
0:000> !address 000cbff0

                                     
Failed to map Heaps (error 80004005)
Usage:                  Stack
Allocation Base:        00090000
Base Address:           000ca000
End Address:            000cc000
Region Size:            00002000
Type:                   00020000    MEM_PRIVATE
State:                  00001000    MEM_COMMIT
Protect:                00000104    PAGE_READWRITE|PAGE_GUARD
More info:              ~0k
可以看到有PAGE_GUARD保护
 

3.观察函数调用和返回过程

int __stdcall Proc(int n)
{
    int a=n;
    printf("A test to inspect stack, n=%d,a=%d.",n,a);
    return n*a;
}
int main()
{
    return Proc(122);
}
0:000> bp HiStack!main
0:000> g
Breakpoint 0 hit
HiStack!main:
00391040 6a7a            push    7Ah
0:000> r eip,esp
eip=00391040 esp=004dfb5c
0:000> p
eip=00391042 esp=004dfb58
0:000> dd 004dfb58 l1   -- esp的值就是压入堆栈的7a
004dfb58  0000007a
0:000> t
光标移到了子函数
HiStack!printf:
00391010 55              push    ebp
eip=00391010 esp=004dfb4c
eip就是当前子函数的位置
esp的内容应该是返回地址,可以查一下
0:000> dd 004dfb4c l1
004dfb4c  0039104e
0039104e 通过反汇编窗口查一下:
00391049 e8c2ffffff      call    HiStack!printf (00391010)
0039104e 83c40c          add     esp,0Ch
正是调用子函数后面的地址位置。说明call命令把EIP压栈了。
从函数ret后
eip=0039104e esp=004dfb50
esp的值把最初的7Ah也给弹出去了004dfb5c。

4. 局部变量和栈帧

LocalVar.cpp

int main()
{
    FuncA();
    FuncB("Dbg");
    FuncC("Dbg");
    return 0;
}
#pragma optimize( "", on )


int FuncA()
{
    int l,m,n;
    char sz[]="Advanced SW Debugging";
    l=sz[0];
    m=sz[4];
    n=sz[8];
    return l*m*n;
}
-----
FuncA
00391040 55              push    ebp
00391041 8bec            mov     ebp,esp
00391043 0f100d08213900  movups  xmm1,xmmword ptr [LocalVar!`string' (00392108)]
0039104a 83ec18          sub     esp,18h   ---esp寄存器被递减24字节,也就是分配了24字节的栈空间。这个空间为字符串变量分配的, 尽管字符串需要22个字节,但因为内存对齐的需要,所以编译器会实际分配24个字节。三个整数变量未分配栈空间,看来编译器想使用寄存器存储三个整数变量。
0039104d 0f28c1          movaps  xmm0,xmm1
00391050 660f7ec8        movd    eax,xmm1
00391054 660f73d804      psrldq  xmm0,4
00391059 660f7ec1        movd    ecx,xmm0
0039105d 0fbec0          movsx   eax,al
00391060 660f73d908      psrldq  xmm1,8
00391065 0fbec9          movsx   ecx,cl
00391068 0fafc1          imul    eax,ecx
0039106b 660f7ec9        movd    ecx,xmm1
0039106f 0fbec9          movsx   ecx,cl
00391072 0fafc1          imul    eax,ecx
00391075 8be5            mov     esp,ebp
00391077 5d              pop     ebp
00391078 c3              ret
00391079 cc              int     3
0039107a cc              int     3
0039107b cc              int     3
-------------------------------------
如何引用局部变量?
void FuncB(char * szPara)
{
    char szTemp[5];
    strncpy(szTemp,szPara,sizeof(szTemp)-1);
    printf("%s;Len=%d.\n",szTemp,strlen(szTemp));
}

LocalVar!FuncB:
00391080 55              push    ebp
00391081 8bec            mov     ebp,esp
00391083 83ec0c          sub     esp,0Ch   --- szPara,szTemp预留12个字节
00391086 a104303900      mov     eax,dword ptr [LocalVar!__security_cookie (00393004)]
0039108b 33c5            xor     eax,ebp
0039108d 8945fc          mov     dword ptr [ebp-4],eax
00391090 6a04            push    4                                -- 压入参数4,准备调用strncpy
00391092 51              push    ecx                              --压入szPara
00391093 8d45f4          lea     eax,[ebp-0Ch] 
00391096 50              push    eax                              -- 压入szTemp
00391097 ff15c4203900    call    dword ptr [LocalVar!_imp__strncpy (003920c4)]
0039109d 8d45f4          lea     eax,[ebp-0Ch]
003910a0 83c40c          add     esp,0Ch
003910a3 8d5001          lea     edx,[eax+1]
003910a6 8a08            mov     cl,byte ptr [eax]
003910a8 40              inc     eax
----------------------------------------------
#pragma optimize( "", off )
void FuncC(char * szPara)
{
    char szTemp[5];
    strncpy(szTemp,szPara,sizeof(szTemp)-1);
    printf("%s;Len=%d.\n",szTemp,strlen(szTemp));
}

LocalVar!FuncC:
003910d0 55              push    ebp          --压入EBP寄存器当前值
003910d1 8bec            mov     ebp,esp --ESP的当前值(栈顶)赋给EBP
003910d3 83ec1c          sub     esp,1Ch --为变量szTemp分配空间。应该是8,怎么分了24?
003910d6 a104303900      mov     eax,dword ptr [LocalVar!__security_cookie (00393004)]
003910db 33c5            xor     eax,ebp
003910dd 8945fc          mov     dword ptr [ebp-4],eax
003910e0 6a04            push    4            --准备调用strncpy,压入参数4
003910e2 8b4508          mov     eax,dword ptr [ebp+8] -- 将szPara赋给EAX
003910e5 50              push    eax  --压入szPara
003910e6 8d4df4          lea     ecx,[ebp-0Ch] -- 将szTemp的有效地址放入ECX寄存器
003910e9 51              push    ecx  --压szTemp
003910ea ff15c4203900    call    dword ptr [LocalVar!_imp__strncpy (003920c4)]  --调用strncpy
003910f0 83c40c          add     esp,0Ch   -- 调整栈指针,释放前面3次压入的参数
003910f3 8d55f4          lea     edx,[ebp-0Ch]      --将szTemp放入edx
003910f6 8955ec          mov     dword ptr [ebp-14h],edx   -- 
003910f9 8b45ec          mov     eax,dword ptr [ebp-14h]
003910fc 83c001          add     eax,1
003910ff 8945e8          mov     dword ptr [ebp-18h],eax
00391102 8b4dec          mov     ecx,dword ptr [ebp-14h]
00391105 8a11            mov     dl,byte ptr [ecx]
00391107 8855f3          mov     byte ptr [ebp-0Dh],dl
0039110a 8345ec01        add     dword ptr [ebp-14h],1
0039110e 807df300        cmp     byte ptr [ebp-0Dh],0
00391112 75ee            jne     LocalVar!FuncC+0x32 (00391102)
00391114 8b45ec          mov     eax,dword ptr [ebp-14h]
00391117 2b45e8          sub     eax,dword ptr [ebp-18h]
0039111a 8945e4          mov     dword ptr [ebp-1Ch],eax
0039111d 8b4de4          mov     ecx,dword ptr [ebp-1Ch]
00391120 51              push    ecx                             --压入ECX即strlen(szTemp)
00391121 8d55f4          lea     edx,[ebp-0Ch]          --将szTemp的有效地址放入EDX寄存器
00391124 52              push    edx                             --压入EDX,即szTemp
00391125 6820213900      push    offset LocalVar!`string' (00392120)   --压入常量字符串 "%s;Len=%d.\n"
0039112a e8e1feffff      call    LocalVar!printf (00391010)
0039112f 83c40c          add     esp,0Ch
00391132 8b4dfc          mov     ecx,dword ptr [ebp-4]
00391135 33cd            xor     ecx,ebp
00391137 e827000000      call    LocalVar!__security_check_cookie (00391163)
0039113c 8be5            mov     esp,ebp
0039113e 5d              pop     ebp
0039113f c3              ret
 

 

张某人的胡思乱想
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windbg可以看到Visual Studio中看不到的有效函数调用堆
dvlinker的技术专栏
11-19 1万+
Visual Studio中看不到有效的函数调用堆,用Windbg调试可以看到
windbg找出指定驱动所在的内核调用
u010607621的博客
06-14 616
诸如Windows卡死或应用程序不明原因卡住等问题,如果我们怀疑是某个驱动导致,我们可以在dmp中查看此驱动所在的内核调用,看看是否此驱动调用了某些Windows同步函数而卡住。 例如我怀疑是RegFilter.sys导致的Windows卡住,我可在系统dump中执行 留意此处的Blocked。线程fffffa80ca29f930和fffffa80cb62c060 002bca8他们的调用就有RegFilter调用nt!ExAcquireFastMutex进而卡住。 下一步就联系RegFilter的开发
Windbg查看调用堆(k*)
08-23 807
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆。学会windbg调用堆命令,以及理解堆中的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
Windbg -- 查看调用堆
热门推荐
while(1) { smile(); }
02-12 9万+
一. 显示堆信息 k*命令 [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr StackPtr Instr...
WinDBG中查看调用的命令
weixin_34138139的博客
01-01 277
命令 ========== k k命令显示的是一定数量的帧, 其中帧的数量是由.kframes命令来控制的, 默认值是256。   kp 5 显示调用中前5个函数以及他们的参数.   kb 5 显示调用中前五个函数以及他们的前三个参数.   kf 5 显示在调用中五个函数所使用的大小. 每个帧所占的空间使用量的计算方法是: 将当前函数的基指针与在函数中调用的任何一...
Windbg_10-查看堆
qq_33168924的博客
11-25 3341
1.内容概要: 堆的作用 查看堆的命令 1.1 :程序堆的结构: push,pop call, ret等能直接或间接改变sp,bp寄存器的值的指令都会改变的结构。 一个线程拥有一个独立的,线程执行函数,为每个函数开辟帧,函数退出则关闭该函数 的帧,回收空间,结构可以让调试器回溯出函数的调用关系,的结构如下: 1.2:windbg中的堆命令: 简单介绍常用三个: 注意:...
利用WinDbg查看堆中方法入参的值4(C#)
zxy13826134783的博客
06-11 1346
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。可以看到方法WindbgDemo.DownLoadBp.DownLoadOperation中的参数名称为url,对应的值的地址为:0x0000000003222bd8。本文目的,就是查看导出的dump文件中堆中的方法参数值,这样方便后续分析问题。threads查看线程。
windbg 观察
CAir2的专栏
06-18 1624
1.显示回溯(k) k命令选项 f:显示相邻两个的内存距离 L:屏蔽源文件信息 k: 命令k输出解析: 每行代表一个函数,也就是一个帧。 第一列:帧基址。 第二列:函数返回地址 第三列:函数名和执行位置,之后是源文件信息。@符号后面的数字表示当前源文件所在的行。 k命令增加参数L可以屏蔽源文件信息。 kb:显示上的前三个参数(不一定是参数,仅仅是三个固定位置的值) kp:根据pd...
windbg汇编函数堆知识
u012910342的博客
03-06 503
使用windbg分析CPU、内存、崩溃、调试等,难免会遇到汇编代码,尤其堆信息。指令码和汇编一一对应。除了汇编、C/C++程序编译的二进制文件是CPU识别的指令码。其它C#、JAVA编译后的二进制文件,都是自身语言的解释性指令,运行过程,还需要解析成CPU识别的指令码,才能被执行。
14.windbg-k、u、x(堆查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆,以及其他相关信息~0 k表示打印0号线程的调用堆,直接用k表示打印当前线程的调用堆0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
windbg - 查看调用
tuan8888888的博客
02-08 1476
在分析崩溃时候,经常会查看调用,正确理解调用中的各字段的含义对于排查问题至关重要,所以本篇重点介绍下,如何查看调用。 查看调用,kb 如下图 调用命令,可以观看官方文档 :https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/k--kb--kc--kd--kp--kp--kv--display-stack-backtrace- ||2:2:196> kb *** Stack trace for las.
windbg学习实例2:堆的手工分析(AWDDBG学习笔记)
weixin_30369041的博客
05-31 161
大多数(并不是所有)高层的内存管理器都使用了Windows堆管理器,而堆管理器又会使用虚拟内存管理器: 下图给出了在Windows中支持的内存管理器以及它们之间的关系: 当进程启动时,堆管理器将自动创建一个新堆,叫做默认的进程堆,但是new/delete运算符以及malloc/free等API仍使用CRT堆来满足它们的内存需求,有些进程还会创建一些额外的堆(通过HeapCreat...
windbg看不了chromium崩溃堆怎么解决
最新发布
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
03-07 456
windbg看不了chromium崩溃堆怎么解决
windbg】调用分析
xl19900502的专栏
04-14 862
一些心得和说明 windbg 还不熟,如有错误,请指正。 调用鼓捣了好久,一直没整明白。每次都打算弄明白,结果还是...(泪目啊)。今天,不慌不忙的,把windbg的打印信息都copy出来,再把 ebp、esp、eip都挑出来,看它们的地址变化,然后再,整个表格,看他们是怎么跳转的... 再参考下 对于ESP、EBP寄存器的理解,慢慢的就有头绪了,所以,一定要有耐心,心细梳理。 图 01 创建MFC程序 创建MFC程序,使用以下代码。(参考:对于ESP、EBP寄存器的理解) int FunA
windbg 打印所有线程堆
weixin_42602368的博客
01-06 866
要在 Windbg 中打印所有线程的堆,请使用 ~*k 命令。 例如: ~*k 这将在调试会话中打印所有线程的堆信息。 你还可以使用 ~[thread number]k 命令打印指定线程的堆信息。例如: ~2k 这将打印线程 2 的堆信息。 另外,你还可以使用 !thread 命令查看线程列表,并使用线程 ID 来打印指定线程的堆信息。例如: !thread ~[thread ID]k ...
WinDBG调试神器:使用指南与命令详解
学习和掌握这些命令对于有效使用WinDBG至关重要。 在使用WinDBG时,首先要理解工作空间的概念。工作空间分为默认工作空间(Default Workspace)和命名工作空间(Named Workspace)。默认工作空间在未指定其他命名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值