获取调用栈信息的函数RtlCaptureStackBackTrace()

最新推荐文章于 2023-12-05 23:13:02 发布
最新推荐文章于 2023-12-05 23:13:02 发布
阅读量4.8k 收藏 2
点赞数 1
分类专栏: c/c++ 文章标签: 调用栈 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/79006874
版权

这是一个导出函数,使用时必须试探页面产生异常的能力(probe the ability to take page fault)—(翻译 ddk文档)。

USHORT //返回捕捉到的结构数
  RtlCaptureStackBackTrace(
    __in ULONG  FramesToSkip,
    __in ULONG  FramesToCapture,
    __out_ecount(FramesToCapture) PVOID  *BackTrace,
    __out_opt PULONG  BackTraceHash
    )
{
    int i=numOfTheLaskCapturedFrame=0;//额外的开销,程序编译过程中通过寄存器的合理搭配使用,这两个量就不用了;但是为了可读性加进来 
    if(FramesToCapture>0ffffh) //0xf  jbe 0x15 超过最大捕捉量时,取设定的最大值
    {
        FramesToCapture=0ffffh;//0x13
    }
    if(FramesToSkip>0feh)  //0x15  jbe 0x24
    {
        return 0;  //0x20  跳过的栈结构太多,直接返回0 
    }
    else
    {
        numOfTheLastCapturedFrame=RtlWalkFrameChain(
        BackTrace,//保存栈结构信息
            FramesToSkip+FramesToCapture+1,//结束的下标
            (FramesToSkip+1)<<8)) // 开始的下标 //0x24  jbe 0x69
        if((FramesToSkip+1)>numOfTheLastCapturedFrame)
        {
            return 0;
        }
        else
        {
            if(BackTraceHash) //0x3f   je 0x65
            {
                if(FramesToCapture<=0) //0x46 jbe  0x5e
                {
                    *BackTraceHash=0;  //0x5e
                    return 0;  
                }
                else
                {
                    for(i;FramesToSkip+i<numOfTheLastCapturedFrame,i<FramesToCapture;i++) //0x4b
                    {
                        *BackTraceHash+=BackTrace[i];  //0x52 
                        //0x5e  将栈结构地址加在一起作为hash值
                        return i+1;
                    }
                }
            }
            else
            {
                return numOfTheLastCaputredFrame-FramesToSkip-1;
            }
        }
    }
}

这个函数只是进行了参数的检查和信息的保存,实际工作有RtlWalkFrameChain()完成,下次再接着弄:)。

pureman_mega
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
第69章:VC++打印函数
Keivin
08-14 467
函数调用函数 CaptureStackBackTrace
C语言函数调用(一)
02-02
函数调用过程通常使用堆实现,每个用户态进程对应一个调用结构(callstack)。编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量。不同处理器和...
获取当前函数调用函数RtlCaptureStackBackTrace
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-01 5014
平日里用VS开发工具在调时在Debug下有一个选项Call Stack快捷键是Alt+7可以看出函数调用的来龙去脉,原来有一个这样原函数存在。 RtlCaptureStackBackTrace The RtlCaptureStackBackTrace routine captures a stack back trace by walking up the stack and re
易语言-利用 RtlWalkFrameChain 回溯调用
06-25
学习到的知识: 通过RtlWalkFrameChain 回溯调用 通过NtQueryVirtualMemory 查询模块句柄与模块名
0029__获取当前函数调用函数RtlCaptureStackBackTrace
行潇
09-14 118
获取当前函数调用函数RtlCaptureStackBackTrace_cosmoslife的博客-CSDN博客RtlCaptureStackBackTrace 函数 (winnt.h) - Win32 apps | Microsoft Learn
驱动下Wow64回溯和进程模块枚举
anhkgg的专栏
09-27 2825
很久没写驱动代码,最近又摸了一下。 在驱动中回溯调用,找到特定模块,获取模块地址、大小、路径等信息,然后…。 堆回溯 驱动中通常使用RtlWalkFrameChain来获取调用信息,接口如下: ULONG RtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags); //Callers一个PVOID数组,保存中...
微软轻量级系统监控工具sysmon内核实现原理
浪子_三少(邮箱:basketwill@qq.com)
12-26 1099
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。  一、          驱动DriverEntry的初始化  从DriverEntry(PDRIVER_OBJECTDriverObject, UNICODE_ST...
C语言函数调用(三)
02-21
本节通过代码实例分析函数调用过程中帧的布局、形成和消亡。示例代码如下:该程序每个函数都嵌入汇编代码,以获取函数运行时刻EBP和ESP寄存器的值。每个函数都打印出EBP寄存器所指向内存地址处的值,以及位于其...
C语言函数调用(二)
03-03
创建一个帧的最重要步骤是主调函数如何向中传递函数参数。主调函数必须精确存储这些参数,以便被调函数能够访问到它们。函数通过选择特定的调用约定,来表明其希望以...2)的维护方式主调函数将参数压调用
Native下如何获取调用?.pdf
08-07
当一个函数调用另一个函数时,参数会被压入调用调用者的信息被保存以便于后续恢复。在x86架构中,常见的寄存器如EIP(指令指针)和EBP(基址指针)在函数调用中扮演重要角色。EIP记录了程序执行的下一条指令地址...
利用 RtlWalkFrameChain 回溯调用
06-03
学习到的知识:。通过RtlWalkFrameChain 回溯调用。通过NtQueryVirtualMemory 查询模块句柄与模块名。@pxiu。
e语言-利用 RtlWalkFrameChain 回溯调用
08-23
学习到的知识:通过RtlWalkFrameChain 回溯调用通过NtQueryVirtualMemory 查询模块句柄与模块名
msjexhnd Windows进程崩溃时捕获并输出错误信息函数调用的例子
02-19
一个在Windows进程崩溃时捕获并输出错误信息函数调用的例子。对你制作自己的错误报告机制非常有用 这个类的使用方法很简单,只要把这个类加入到你的工程中并和你的程 序一起编译就可以了,由于在这个类的实现文件中把自己定义为一个全局的类对象,所以,不用加入任何代码,#include都不需要。 如果程序崩溃会生成.rpt文件,可供分析。 注意编译时开启“生成调试信息”,推荐生成map,可根据map文件里面的函数地址来更好的查找崩溃的函数
异常调试文件 msjexhnd.zip
06-21
项目加入异常调试文件,设置生成cod和map文件,可以根据异常发生后生成的*.RPT文件,定位异常发生位置
windows 下实现backtrace以及undefined reference to问题解决
tt1724369779的博客
05-27 748
在linux下可以通过execinfo.h下的backtrace_symbols和backtrace来实现backtrack。但是windows中没有execinfo.h。但是之后运行发现报错undefined reference to,网上查找发现需要在Dev中进行编译选项设置。,使用CaptureStackBackTrace和SymFromAddr实现。选择 “工具”》“编译选项”进行如下设置。添加“-ldbghelp”。
windows平台调用函数的追踪方法
热门推荐
Masimaro的专栏
08-14 1万+
在windows平台,有一个简单的方法来追踪调用函数的堆,就是利用函数CaptureStackBackTrace,但是这个函数不能得到具体调用函数的名称,只能得到地址,当然我们可以通过反汇编的方式通过地址得到函数的名称,以及具体调用的反汇编代码,但是对于有的时候我们需要直接得到函数的名称,这个时候据不能使用这个方法,对于这种需求我们可以使用函数:SymInitialize、StackWalk、Sy
对抗无落地的shellcode注入
hongduilanjun的博客
07-21 1716
一般的shellcode加载到内存都是通过和来获取函数进行shellcode加载,亦或是通过远程申请一块空间来放入shellcode的地址进行加载。为了隐蔽,攻击者通常会通过PEB找到链表,自己去定位函数从而规避杀软对导入表的监控。攻击者先把shellcode加密,在写入时解密存放到内存空间,使用基于文件检测的方法,是无能为力的,那么这种无落地的方式,最终都会在内存中一览无余。...
标准的一份回溯代码
落笔飞花笑百生的博客
04-27 1075
 include 'win32ax.inc' use32 entry start start: invoke getmodule,"ntdll.dll" invoke getproc,eax,"RtlWalkFrameChain" mov dword [walk],eax invoke walk,fuck,100,0 mov dword[stackcount],eax mo
C++获取当前线程堆信息
最新发布
gaojunhuiwww的专栏
12-05 1410
windows下使用Dbghelp获取信息
printf函数调用
08-19
当我们调用 printf 函数时,它会在程序的调用(stack)上创建一个新的帧(frame)。调用是用于存储函数调用和局部变量的一块内存区域。 下面是一个简化的示例 printf 函数调用的结构: 1. 主函数(main): - 局部变量 - ... - printf 函数调用 2. printf 函数: - 参数:格式化字符串和对应的参数 - 局部变量 - ... - printf 函数的实现代码 在调用 printf 函数时,以下是发生的一些步骤: 1. 主函数将参数传递给 printf 函数,并将返回地址(返回到主函数的位置)保存在调用上。 2. printf 函数将参数和局部变量保存在自己的帧中,通常使用来实现。 3. printf 函数执行其实现代码,按照格式化字符串将相应的参数打印到标准输出。 4. 当 printf 函数执行完毕时,它会使用保存在调用上的返回地址,将程序的控制流返回到主函数的适当位置。 需要注意的是,这只是一个简化的描述,实际情况可能会更加复杂,因为还涉及到编译器优化、参数传递方式等因素。 了解函数调用结构可以帮助我们理解程序执行过程中的内存布局和调用关系,对于理解和调试代码非常有帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值