.windbg-k*实例分析(查看调用栈分析)

最新推荐文章于 2024-01-09 16:51:45 发布
最新推荐文章于 2024-01-09 16:51:45 发布
阅读量485 收藏
点赞数
分类专栏: 调试技术
[cpp]  view plain  copy
  1. #include "stdafx.h"  
  2.   
  3. int fun0(int i)  
  4. {  
  5.     return i;  
  6. };  
  7.   
  8. int fun1(int i)  
  9. {  
  10.     return fun0(i);  
  11. }  
  12.   
  13. int _tmain(int argc, _TCHAR* argv[])  
  14. {  
  15.   
  16.     fun1(10);  
  17.   
  18.     return 0;  
  19. }  


代码如上

我们在test!fun1下个断点,g运行,断下来后:


我们来观注下蓝色小框的地址是RetAddr,具体指什么,跳转到此处汇编:


很明显了,就是运行函数后的下一条要执行的指令

我们再看看ChildEBP的含义:

现在打印下ebp值:

[cpp]  view plain  copy
  1. 0:000> r ebp  
  2. ebp=002ef930  
很诡异,怎么会是前一个栈的ebp呢,其实我们可以注意到当前汇编是push ebp

而这个函数用到的ebp应该是到mov ebp, esp之后,单步调过此处,再看其值:


也就是ChildEbp就是当前函数需要使用的EBP,不要被ChildEbp的child字面意思搞晕了~~~~


有函数调用的栈中的情况:


上图中上面是低地址,下面是高地址,保存的EBP就是前一个EBP,它的地址就是当前的EBP

在内存中的一系列的值是可以被识别出来的, 这些值表示当前栈中的某个地址, 并且在这些值之后是一个可执行的地址.

[cpp]  view plain  copy
  1. 0:000> lm  
  2. start    end        module name  
  3. 011e0000 011fb000   test     C (private pdb symbols)  E:\test\Debug\test.pdb  
  4. 53ca0000 53dc3000   MSVCR90D   (deferred)               
  5. 756f0000 7573b000   KERNELBASE   (deferred)     

再看下转存的栈


可以看到,蓝色的地址和最右排地址相差无几,极可能是当前栈的某个地址,后面接着红色部分是在test模块内的,所以应该是返回地址

以后为重启了次程序运行结果,我们可以打印出kb看到:

[cpp]  view plain  copy
  1. 0:000> kb  
  2. ChildEBP RetAddr  Args to Child                
  3. 0029fbb4 011f1417 0000000a 0029fd64 00000000 test!fun0+0xb [e:\test\test\test.cpp @ 7]  
  4. 0029fc8c 011f1465 0000000a 00000000 00000000 test!fun1+0x27 [e:\test\test\test.cpp @ 13]  
  5. 0029fd64 011f19f8 00000001 00331b90 00334800 test!wmain+0x25 [e:\test\test\test.cpp @ 19]  
  6. 0029fdb4 011f183f 0029fdc8 75aaed6c 7ffdd000 test!__tmainCRTStartup+0x1a8 [f:\dd\vctools\crt_bld\self_x86\crt\src\crtexe.c @ 583]  
  7. 0029fdbc 75aaed6c 7ffdd000 0029fe08 7757377b test!wmainCRTStartup+0xf [f:\dd\vctools\crt_bld\self_x86\crt\src\crtexe.c @ 403]  
  8. 0029fdc8 7757377b 7ffdd000 764a1a3e 00000000 kernel32!BaseThreadInitThunk+0xe  
  9. 0029fe08 7757374e 011f107d 7ffdd000 00000000 ntdll!__RtlUserThreadStart+0x70  
  10. 0029fe20 00000000 011f107d 7ffdd000 00000000 ntdll!_RtlUserThreadStart+0x1b  

这是fun1用到的ebp,按图就知道,保存的EBP和返回地址是连续的.

后面的test!fun1+0x27其实是通过寻找上一行的返回地址(011f1417)得来的,可以使用ln 011f1417查看.


 特别注意是栈是向低地址增加,dd 后一个EBP的值就是前一个EBP

[cpp]  view plain  copy
  1. 0:000> p  
  2. eax=00000002 ebx=7efde000 ecx=00000001 edx=00000001 esi=00000000 edi=0034fed8  
  3. eip=00c13613 esp=0034fde4 ebp=0034fed8 iopl=0         nv up ei pl nz na po nc  
  4. cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202  
  5. test1!wmain+0x33:  
  6. 00c13613 51              push    ecx  
  7.   
  8. 0:000> r esp  
  9. esp=0034fde0  

push ecx后,esp减了4

另外经常用到的指令如kn 100 

kn用于显示帧号码,100表示层级,一般不会到100,所以就是显示实际的层级

[cpp]  view plain  copy
  1. 0:000> kn 100  
  2.  # ChildEBP RetAddr    
  3. 00 010ff860 776fb2e4 ntdll!LdrpDoDebuggerBreak+0x2b  
  4. 01 010ffa98 776f7744 ntdll!LdrpInitializeProcess+0x14dc  
  5. 02 010ffaec 776f7590 ntdll!_LdrpInitialize+0x178  
  6. 03 010ffaf4 00000000 ntdll!LdrInitializeThunk+0x10  
   

又如:

~*kv 1

让每个线程只显示前一帧

[cpp]  view plain  copy
  1. :000> ~*kv 1  
  2.   
  3. .  0  Id: ae14.5c8 Suspend: 1 Teb: 00ff5000 Unfrozen  
  4.  # ChildEBP RetAddr  Args to Child                
  5. 00 010ff860 776fb2e4 a7e95f8e ffffffff 00000000 ntdll!LdrpDoDebuggerBreak+0x2b (FPO: [Non-Fpo])  
  6.   
  7.    1  Id: ae14.b410 Suspend: 1 Teb: 00ff8000 Unfrozen  
  8.  # ChildEBP RetAddr  Args to Child                
  9. 00 013cf88c 776c6a61 000000b8 013fc388 00000010 ntdll!NtWaitForWorkViaWorkerFactory+0xc (FPO: [5,0,0])  
  10.   
  11.    2  Id: ae14.5ed0 Suspend: 1 Teb: 00ffb000 Unfrozen  
  12.  # ChildEBP RetAddr  Args to Child                
  13. 00 015ef96c 776c6a61 000000b8 013fc638 00000010 ntdll!NtWaitForWorkViaWorkerFactory+0xc (FPO: [5,0,0])  
swartz_lubel
关注
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
Windbg dump分析 学习总结
bcbobo21cn的专栏
03-05 2万+
Windbg核心调试之dump分析 http://www.pediy.com/kssd/pediy08/pediy8-428.htm 标 题: Windbg核心调试之dump分析 作 者:Lvg 时 间:2006-11-17 12:56  链 接:http://bbs.pediy.com/showthread.php?threadid=35044 调试环境:winxp sp2+wind
WinDBG调试线程
Diomedes's Place
12-20 4054
WinDBG调试线程,理解线程内部机制。初学WinDBG,参考一些文章进行简单的线程调试。 参考资料:http://bbs.pediy.com/showthread.php?p=791936 准备工作:运行被调试程序,!analyze -v分析程序,kb查看(函数执行流程)。 步骤总结:线程状态下断点,通过堆查看函数执行流程,查看函数反汇编代码理解内核工作流程。 个人经验:通
Windbg命令学习6(k和x)
weixin_30376453的博客
05-14 183
1.k k*命令显示给定线程调用,以及其他相关信息 ~0 k表示打印0号线程调用,直接用k表示打印当前线程调用 0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0...
Windbg查看调用(k*)
08-23 854
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用。学会windbg调用命令,以及理解堆中的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
查看调用的命令kb内容分析
weixin_30813225的博客
01-07 228
#include "stdafx.h" int fun0(int i) { return i; }; int fun1(int i) { return fun0(i); } int _tmain(int argc, _TCHAR* argv[]) { fun1(10); return 0; } 代码如上 我们在test!fun1下个断点,g运行,断下来后: ...
windbg的k命令
erikaIT的博客
03-10 1760
1、~*kv,显示所有线程的堆信息 2、~1kv,显示1号线程的堆信息
windbg学习笔记
wskz876的专栏
02-08 1512
写与2014年6月3日Default Workspace 默认工作空间 implicit Workspace 隐含工作空间Named Workspace 命名工作空间 explicit Workspace 显示工作空间Base Workspace 基础工作空间 dormant 状态Default Kernel-mode Workspace 默认内核态工作空间Remote Default Wo...
使用Windbg分析dump文件的一般步骤详解
最新发布
dvlinker的技术专栏
01-09 2万+
详细讲解使用Windbg静态分析dump文件的一般步骤。
windbg常用命令列表
11-04
自己搜集的windbg常用命令列表,希望对大家有用。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
14.windbg-k、u、x(堆查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程调用,以及其他相关信息~0 k表示打印0号线程调用,直接用k表示打印当前线程调用0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
Windbg 常用命令
大黄鸭在发光的专栏
12-19 605
Windbg 是微软开发的一款强大的调试工具,用于调试 Windows 操作系统和应用程序。它支持各种调试技术,包括用户模式和内核模式调试、本地和远程调试、源代码和汇编级别调试等。
WinDbg命令详解--线程
Arbboter的专栏
03-17 1万+
线程命令是以~开始,后面跟线程id(一个windbg从0开始的一个编号),或者.,#,*等,可和其他命令混合使用。 ~ 简洁地显示当前进程的所有线程, ~. 表示当前线程 ~# 表示异常或者产生调试事件的线程 ~* 表示所有线程 ~1 表示一号线程 ~2 s 表示选择2号线程作为当前线程 ~3 f 冻结三号线程 ~3 u 解冻三号线程 ~2 n
Windbg常用命令
nethm的专栏
10-26 3044
.extpath 扩展模块搜索路径 .ecxr;kb !analyze -v ~ - 列举出当前进程上下文中的所有线程 ~* - 列举出当前进程上下文中的所有线程的详细信息 lm - 列举出所有加载的模块 !sym noice/quiet - 代码提示开关 .srcpath -设置源码路径 k - 显示当前堆 ~*kb -显示出所有线程占用的堆 dv - 显示出本地变量(使
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 9万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
Windbg 2进程线程结构分析
fei1160688828的专栏
12-29 867
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器 任务 一个进程或者一个线程叫任务 进程资源 虚拟地址空间 全局唯一的进程ID 可执行映像 一个或多个线程 一个位于内核空间的EPROCESS 一个位于内核空间的对象句柄表 一个用于描述内存目录表其实位置的基地址 一个位于用户空间的进程环境块 一个访问令牌 进程空间 用户空间 内核空间 EPROCESS结构 1.查看所有
windbg常用命令
evsqiezi
12-21 1299
!analyze -v 查看崩溃分析,会打印堆 !address –summary查看内存占用 STACK_COMMAND: ~0s; .ecxr ; kb ~0 k表示打印0号线程调用,直接用k表示打印当前线程调用 kb显示前3个参数 kc只显示调用的模块名和地址(不显示调用的地址) kd直接显示所有的情况 例: kd 8 KD,用于显示Stack的Dum...
windbg基本知识和常用命令
忍冬的专栏
12-13 757
基本知识和常用命令 (1)    下载、安装及设置       Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx 通过命令设置:安装完后执行windbg –I将Windbg设置成默认调试器 手动设置注册表:其设置在注册表 HKEY_LOCAL_MACHINE\SOF
高效调试必备:探索Windbg-10.0.18.zip的强大功能
2. Windbg的主要功能:Windbg集成了丰富的调试功能,包括但不限于崩溃分析、内存检测、线程分析、模块加载、符号解析等。这些功能可以帮助开发者快速定位和解决问题,提高开发效率。 3. Windbg的版本:本次提供的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值