关于调用栈一个函数ObpPushStackInfo

最新推荐文章于 2024-01-30 15:30:48 发布
最新推荐文章于 2024-01-30 15:30:48 发布
阅读量360 收藏
点赞数 1
分类专栏: c/c++ 文章标签: 调用栈 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/79004603
版权 
kd> !obtrace 0xfa96f700(对象地址)
Object: fa96f700        Image: cmd.exe
Sequence  (+/-)  Stack
--------  -----  ---------------------------------------------------
   2421d    +1  nt!ObCreateObject+180
                nt!NtCreateEvent+92
                nt!KiFastCallEntry+104
                nt!ZwCreateEvent+11
                win32k!UserThreadCallout+6f
                win32k!W32pThreadCallout+38
                nt!PsConvertToGuiThread+174
                nt!KiBBTUnexpectedRange+c
   2421e    -1  nt!ObfDereferenceObject+19
                nt!NtCreateEvent+d4
                nt!KiFastCallEntry+104
                nt!ZwCreateEvent+11
                win32k!UserThreadCallout+6f
                win32k!W32pThreadCallout+38
                nt!PsConvertToGuiThread+174
                nt!KiBBTUnexpectedRange+c

   .......(还有)

!obtrace这个命令cmd,exe调用栈上的信息。sequence指操作的先后顺序。+表示 (a reference operation)—不知道怎么翻译好。-表示 (a dereferenc operation)。—(前面的来自 ddk)

USHORT
  RtlCaptureStackBackTrace(   //捕捉栈回溯信息
    __in ULONG  FramesToSkip,//要跳过几个(栈)结构
    __in ULONG  FramesToCapture,//要捕捉几个结构
    __out_ecount(FramesToCapture) PVOID  *BackTrace,//用来保存信息的数组
    __out_opt PULONG  BackTraceHash
    );
VOID ObpPushStackInfo(IN PVOID Object, UNKNOWN1,UNKNOWN2,ULONG Tag)
{
    PVOID BackTrace[15];
    memset(BackTrace,0,15*sizeof(PVOID));
    if(KeAreInterruptsEnabled())  //je ox7d
    {
        if(KeGetCurrentIrql()<=DISPATCH_LEVEL)  //0X2b    ja 0x7d
        { 
            if(RtlCaptureStackBackTrace(1,10h,BackTrace,0)>=1) //0x35  jb 0x7d
            {
                InterlockedIncr(&ObpStackSequence);  //0x4a
                if(TRUE==MmCanThreadFault())   //jne 0x78 先'暂停'线程,然后'push'相关信息,不然会有新的调用信息产生使获取的数据不准确
                {
                    ObpPushRefDerefInfo(Object,UNKNOW1,UNKNOW2,2,BackTrace,Tag); //0x71 jmp 7d
                }
                else
                {
                    ObpDeferPushRefDerefInfo(Object,UNKNOWN1,UNKNOW2,2,BackTrace,Tag);
                }
            }
        }
    }
    return ; //0x7d
}
BOOLEAN MmCanThreadFault()
{ //KeGetCurrentThread()   0X284  在Ethread结构里,它的第一个成员是Kthread
    if((KeGetCurrentIrql()<=DISPATCH_LEVEL)&&!(Ethread->SameThreadPassiveFlags&4)
        &&(KeGetCurrentThread()!=MiWorkingSetThread)&&!(Ethread->SameThreadApcFlags&(0f01f8h)
        &&!(Ethread->SameThreadApcFlags&(0ffc0h))
    {
        return TRUE;
    }
    else
    {
        return FALSE;
    }
}
pureman_mega
关注
专栏目录
在应用程序中输出函数调用
leopard_ray的专栏
06-25 3435
在内核中,我们可以使用dump_stack()函数来方便的输出函数调用沾。这给了我们很大的便利-无论是理解内核还是调试内核。但是在应用程序中我们该如何输出函数调用呢? Linux下我们可以是用下面的函数。// 获取将backstrace信息,将地址存到buffer中。 // 参数size指定buffer的最大值,返回值则是backstrace的实际大小 int backtrace (void **buffer, int size)
对象管理---2
For Geek
05-24 538
IopCreateObjectTypes 以I/O子系统为例,其初始化过程中创建了Adapter,Controller,Device,Driver,IoCompletion,File等对象类型。 BOOLEAN INIT_FUNCTION NTAPI IopCreateObjectTypes(VOID) { OBJECT_TYPE_INITIALIZER ObjectTypeInitial...
自己尝试还原的ObReferenceObjectByHandle
pureman_mega的博客
01-05 1213
ObReferencObjectByHandle()这个函数从字面上看就可以知道是通过句柄(Handle)来访问对象。还原的过程中对汇编语言强大又有了进一步的认识,其效率之高令人惊叹,每个寄存器的使用都是那么的精妙绝伦,相同或类似的功能的代码很少重复出现。效率高的代价就是可读性较差,和C代码相比就会表现出巨大的差异;但是对于那些比较熟悉这两种语言的高手来说,随意在两者之间切换应该不是什么问题,而我看
Windows11_22H2下的句柄与句柄表分析
最新发布
lkylky123789的博客
01-30 1515
Windows系统句柄与句柄表分析
深入分析Win7的对象引用跟踪机制
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1434
深入分析Win7的对象引用跟踪机制 2010年09月12日 19:34 Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配)。 在Win7中,以下所有不带Tag的函数均使用一个默认的Tag("tlfD")直接调用带Tag参数
C语言函数调用(一)
03-03
函数调用过程通常使用堆实现,每个用户态进程对应一个调用结构(callstack)。编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量。不同处理器和...
C语言函数调用(三)
02-21
本节通过代码实例分析函数调用过程中帧的布局、形成和消亡。示例代码如下:该程序每个函数都嵌入汇编代码,以获取各函数运行时刻EBP和ESP寄存器的值。每个函数都打印出EBP寄存器所指向内存地址处的值,以及位于其...
C语言函数调用(二)
03-03
创建一个帧的最重要步骤是主调函数如何向中传递函数参数。主调函数必须精确存储这些参数,以便被调函数能够访问到它们。函数通过选择特定的调用约定,来表明其希望以特定方式接收参数。此外,当被调函数完成任务...
JS的函数调用stack size的计算方法
12-11
如果你写了一个一直调用自身的死循环,那么恭喜你,很快就可以看到报错:Uncaught RangeError: Maximum call stack size exceeded。那么这个call stack size有多少呢? 1. 计算方法 如下的方法可以为你计算出你使用...
btrace使用
meijunhui的博客
01-11 514
btrace可以在线上运行的程序,不重启的情况下动态改变类 下载btrace, 网上说需要什么gradle,其实不需要 btrace使用有很多限制,比如不允许创建对象,不允许抛出异常等等,所以一般只能使用BTraceUtils工具类的方法 先构建一个普通的web项目A,里面有一个接口,启动这个项目 @RestController @RequestMapping("/user") pu...
Btrace-监控工具
飞天的猪猪
04-19 5108
BTrace的最大好处,是可以通过自己编写的脚本,获取应用的一切调用信息。而不需要不断地修改代码,加入System.out.println(), 然后重启,然后重启,然后重启应用!!! 同时,特别严格的约束,保证自己的消耗特别小,只要定义脚本时不作大死,直接在生产环境打开也没影响。 1 使用场景 服务慢,能找出慢在哪一步,哪个函数里么? 谁构造了一个超大的ArrayList...
linux高级编程之线程间的通信(pthread_cleanup_push和pthread_cleanup_pop)
热门推荐
那时风起
06-05 2万+
linux高级编程之线程间的通信(pthread_cleanup_push和pthread_cleanup_pop)          线程可以安排他退出时需要调用函数,这与进程可以用atexit函数安排进程退出时需要调用函数是类似的。这样的函数称为线程清理处理程序,线程可以建立多个清理处理程序。处理程序记录在中,也就是说他们的执行顺序与他们注册的顺序相反。       pthread...
Windows内核函数的命名
weixin_30265103的博客
12-10 138
Windows内核函数的命名 《Windows内核情景分析--采用开源代码ReactOS(上、下册)》本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构、功能、算法与具体实现。本小节为大家介绍Windows内核函数的命名。 AD: 1.5 Windows内核函数的命名 Windows的内核函数在命名上有个很好的特色,就是函数名都按...
内核隐藏进程
125096
11-16 2521
#include #include #include NTKERNELAPI UCHAR *PsGetProcessImageFileName(PEPROCESS Process); #ifndef MAX_PATH #define MAX_PATH 260 #endif DWORD g_OsVersion;
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
为什么用指针?(20230228更新函数指针使用)
pureman_mega的博客
03-14 5260
相信接触过编程的,大部分应该对C语言有一定了解或者学过一门C语言课程。或多或少听到这种说法:C语言很难学,特别是指针。我大一下学期开的这门课,学完之后感觉还好(其实是我没有深入学,典型的自我感觉良好: )),但指针那块确实也没太弄明白。现在好像明白了一点什么是指针,在什么情况下用比较好。 int a=1;//int* pointer_a=1 在编译会报错 // 'initializing':can
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值