windbg汇编函数堆栈知识

最新推荐文章于 2023-06-11 18:24:04 发布
最新推荐文章于 2023-06-11 18:24:04 发布
阅读量500 收藏
点赞数
分类专栏: windows 文章标签: 汇编 windows Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012910342/article/details/129372939
版权

使用windbg分析CPU、内存、崩溃、调试等,难免会遇到汇编代码,尤其堆栈信息。

  1. 汇编函数结构

一个函数的汇编结构如下:

push ebp ; 保存上个栈底ebp

mov esp,ebp ;设置新栈底

...

...

ret ; 返回。

举例:

int bar(int c,int d)

{

地址 指令码 汇编

8048394: 55 push ebp

8048395: 89 e5 mov ebp,esp

8048397: 83 ec 10 sub $0x10,esp

int e=c+d; // C/C++代码

804839a: 8b 45 0c mov 0xc(ebp),eax

804839d: 8b 55 08 mov 0x8(ebp),edx

80483a0: 8d 04 02 lea (edx,eax,1),eax

80483a3: 89 45 fc mov eax,-0x4(ebp)

return e; // C/C++代码

80483a6: 8b 45 fc mov -0x4(ebp),eax

}

80483a9: c9 leave

80483aa: c3 ret

注意,指令码和汇编一一对应。

除了汇编、C/C++程序编译的二进制文件是CPU识别的指令码。

其它C#、JAVA编译后的二进制文件,都是自身语言的解释性指令,运行过程,还需要解析成CPU识别的指令码,才能被执行。

  1. 堆栈的帧信息

每个函数占用的栈空间为栈帧。堆栈的增长方向和栈中存的数据内容。

其中,

ebp:32位栈底寄存器,16位为bp.

esp:32位栈顶寄存器,16位为sp.

例如如下C++代码:

int add(int x2, int x1) {

int z;

z = x + y;

return z;

}

int main() {

add(0, 1)

return 0;

}

当正执行add函数时,堆栈信息如下:

高地址

x1

x2

main的add(0.1)下一个指令地址

main的栈基址。

z

低地址

注意VS默认参数入栈顺序是从左到右,所以x1先于x2参数入栈。

  1. 函数调用信息

如前面所述,堆栈中可以跟踪函数调用过程的帧。

意味着从堆栈可以得到如下信息:

  1. 函数调用顺序。

  1. 上个函数地址/或当前帧的函数地址。

  1. 函数参数地址。

  1. 函数局部变量地址。

工具windbg的命令kb看到的堆栈,就是这些信息。

可以叫我化十
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg dump文件查看
04-06
堆栈中的每一行代表一次函数调用,从下往上追溯,可以找到问题最初出现的位置。 为了进一步分析,我们可以检查涉及的模块和代码。使用"lm"命令列出所有已加载的模块,找到问题相关的模块。然后,通过"u"命令反汇编...
windbg调试工具.zip
01-08
- **异常堆栈跟踪**:通过查看异常堆栈,开发者可以了解错误发生的具体位置,以及调用栈上的函数序列,这对于定位问题至关重要。 - **内存检查**:Windbg允许检查进程内存,查看变量值,查找内存泄漏,以及检查...
利用WinDbg查看堆栈中方法入参的值4(C#)
最新发布
zxy13826134783的博客
06-11 1342
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。可以看到方法WindbgDemo.DownLoadBp.DownLoadOperation中的参数名称为url,对应的值的地址为:0x0000000003222bd8。本文目的,就是查看导出的dump文件中堆栈中的方法参数值,这样方便后续分析问题。threads查看线程。
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5314
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
Windbg -- 查看调用堆栈
热门推荐
while(1) { smile(); }
02-12 9万+
一. 显示堆栈信息 k*命令 [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr StackPtr Instr...
windbg 常用调试命令总结
就是那个党伟
10-16 2732
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
Windbg_10-查看堆栈
qq_33168924的博客
11-25 3324
1.内容概要: 堆栈的作用 查看堆栈的命令 1.1 :程序堆栈的结构: push,pop call, ret等能直接或间接改变sp,bp寄存器的值的指令都会改变栈的结构。 一个线程拥有一个独立的栈,线程执行函数,为每个函数开辟栈帧,函数退出则关闭该函数 的栈帧,回收栈空间,栈结构可以让调试器回溯出函数的调用关系,栈的结构如下: 1.2:windbg中的堆栈命令: 简单介绍常用三个: 注意:...
Windbg使用手册.zip
10-13
- Windbg功能:包括单步执行代码、设置断点、查看内存、分析堆栈、跟踪线程、查看模块和符号等。 2. **Windbg界面介绍** - 主窗口:显示命令行输入和输出,可以输入调试命令。 - 调试信息窗口:显示当前进程、...
WINDBG调试介绍 方式
08-16
- 此命令可以帮助识别导致程序崩溃的具体原因,例如函数调用堆栈、错误代码等。 通过以上步骤,我们可以深入理解WINDBG的工作原理及其在实际开发中的应用价值。此外,掌握符号文件的使用方法和Crashdump文件的作用...
Windbg使用详解(全面 实用)
04-17
下面将全面且实用地讲解Windbg的核心知识点。 1. **启动与设置**:Windbg可以通过图形界面或命令行启动,对于初学者,推荐使用图形界面。安装完成后,用户可配置符号路径以加载微软官方的符号文件,这对于调试系统...
【VS】Windbg的gflags.exe调试堆栈溢出,访问越界等问题。
qq_43331089的博客
03-18 1290
gflags.exe是Windbg下的一个小工具,非常好用,对于调试程序隐藏的bug很有帮助。现在 只要是VS2019以上的都会自带gflags.exe。:我在vs2019中遇到访问越界的问题,但程序不会在越界的地方发生崩溃中断,而是在一个不可能存在访问错误的地方发生了错误,以至于无法定位问题的位置。所以在网上看到了Windbg的方法,一开始对Windbg不是很了解,熟悉之后发现Windbg很强大,虽然只用到了其中的一个小工具gflags.exe。这是一个非常简单的越界程序,当i = 10。
windbg - 查看调用栈
tuan8888888的博客
02-08 1467
在分析崩溃时候,经常会查看调用栈,正确理解调用中的各字段的含义对于排查问题至关重要,所以本篇重点介绍下,如何查看调用栈。 查看调用栈,kb 如下图 调用栈命令,可以观看官方文档 :https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/k--kb--kc--kd--kp--kp--kv--display-stack-backtrace- ||2:2:196> kb *** Stack trace for las.
程序异常的堆栈查看
joinpark的专栏
04-18 567
原先的上下文被保存,直接切换成了异常的上下文。可以看到最后调用了0地址,导致崩溃,查看实际代码,是加载dll,并后去地址func,结果func是空导致崩溃。这里看到的是异常发生后的堆栈,异常的处理,是一个异常处理的上下文。当程序异常时,使用vs查看可能会看不到正确的堆栈,例如。
Windbg堆内存
q6771020的博客
09-24 773
一般要查内存泄露在没有verify的情况下比较困难,特别是分析dmp无法调试的时候; 简单看看是哪个内存块重复分配很多次吧。 测试代码如下 int main() { char* pp = nullptr; while (1) { Sleep(1000); pp = new char[10000]; } return 0; } 第一步、内存泄露都是在堆上分配的内存,不管是malloc、realloc还是new,或者直接HeapAlloc都是专用内存。先查看堆信息 0:
WinDbg手动修复堆栈
Sven的忘却日记
09-29 2574
栈被破坏了可一点都不好玩儿!尤其是当你在分析crash dump或者程序发生异常的时候,我猜首先要做的事,可能就是先查看一下儿堆栈调用。 但是发现当前线程的栈被破坏了,你的主要分析工具也无法显示堆栈,这可咋办哩? 尽管如此,有时候也可以修复被破坏的堆栈。我已经出了一些关于.NET和C++调试的教程,但是大家的要求,我也会再展示一个例子 .net 调试:http://sela.co.il/syl/s...
windbg常用命令
weixin_44764579的博客
10-31 494
windbg命令错综复杂,本文摘取常用的命令加以介绍,希望读者快速入门,
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1238
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
windbg 定位分析释放堆崩溃的问题
过好每一天的女胖子
03-01 491
RtlFreeHeap释放堆异常
汇编语言(十)--call和ret指令
qq_44671752的博客
02-17 1272
第十章 call和ret指令 10.1 ret 和 retf ret指令用栈中的数据,修改IP的内容,从而实现近转移; CPU执行ret指令时,进行下面两步操作: (1)(IP)=((ss)*16+(sp)) (2)(sp)=(sp)+2 retf指令用栈中的数据,修改CS和IP的内容,从而实现远转移; CPU执行retf指令时,进行下面两步操作: (1)(IP)=((ss)*16+(s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值