windbg汇编函数堆栈知识

最新推荐文章于 2024-10-16 10:01:53 发布
最新推荐文章于 2024-10-16 10:01:53 发布
阅读量541 收藏
点赞数
分类专栏: windows 文章标签: 汇编 windows Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012910342/article/details/129372939
版权

使用windbg分析CPU、内存、崩溃、调试等,难免会遇到汇编代码,尤其堆栈信息。

  1. 汇编函数结构

一个函数的汇编结构如下:

push ebp ; 保存上个栈底ebp

mov esp,ebp ;设置新栈底

...

...

ret ; 返回。

举例:

int bar(int c,int d)

{

地址 指令码 汇编

8048394: 55 push ebp

8048395: 89 e5 mov ebp,esp

8048397: 83 ec 10 sub $0x10,esp

int e=c+d; // C/C++代码

804839a: 8b 45 0c mov 0xc(ebp),eax

804839d: 8b 55 08 mov 0x8(ebp),edx

80483a0: 8d 04 02 lea (edx,eax,1),eax

80483a3: 89 45 fc mov eax,-0x4(ebp)

return e; // C/C++代码

80483a6: 8b 45 fc mov -0x4(ebp),eax

}

80483a9: c9 leave

80483aa: c3 ret

注意,指令码和汇编一一对应。

除了汇编、C/C++程序编译的二进制文件是CPU识别的指令码。

其它C#、JAVA编译后的二进制文件,都是自身语言的解释性指令,运行过程,还需要解析成CPU识别的指令码,才能被执行。

  1. 堆栈的帧信息

每个函数占用的栈空间为栈帧。堆栈的增长方向和栈中存的数据内容。

其中,

ebp:32位栈底寄存器,16位为bp.

esp:32位栈顶寄存器,16位为sp.

例如如下C++代码:

int add(int x2, int x1) {

int z;

z = x + y;

return z;

}

int main() {

add(0, 1)

return 0;

}

当正执行add函数时,堆栈信息如下:

高地址

x1

x2

main的add(0.1)下一个指令地址

main的栈基址。

z

低地址

注意VS默认参数入栈顺序是从左到右,所以x1先于x2参数入栈。

  1. 函数调用信息

如前面所述,堆栈中可以跟踪函数调用过程的帧。

意味着从堆栈可以得到如下信息:

  1. 函数调用顺序。

  1. 上个函数地址/或当前帧的函数地址。

  1. 函数参数地址。

  1. 函数局部变量地址。

工具windbg的命令kb看到的堆栈,就是这些信息。

Windbg可以看到Visual Studio中看不到的有效函数调用堆栈
dvlinker的技术专栏
11-19 1万+
Visual Studio中看不到有效的函数调用堆栈,用Windbg调试可以看到
根据发生异常的汇编指令以及函数调用堆栈,从内存的角度出发,估计出问题的可能原因,确定排查方向,快速定位C++软件问题
最新发布
dvlinker的技术专栏
10-22 1万+
本文讲解一个实例,根据发生异常的汇编指令以及函数调用堆栈,从内存的角度出发,估计出问题的原因,确定排查方向,快速定位问题。
Windbg查看调用堆栈(k*)
08-23 874
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆栈。学会windbg调用堆栈命令,以及理解堆栈中的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg堆栈,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
Windbg Step 2 分析程序堆栈实战
weixin_30322405的博客
09-20 151
转载+整理 http://www.cnblogs.com/killmyday 代码 #include"stdafx.h"#include<tchar.h>#ifdef_UNICODE#define_ttol_wtol#else#define_ttolatol#endifvoidUsage(){#ifdef_UNICODEwprintf(L"[Usa...
Windbg -- 查看调用堆栈
热门推荐
while(1) { smile(); }
02-12 9万+
一. 显示堆栈信息 k*命令 [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr StackPtr Instr...
Windbg_10-查看堆栈
qq_33168924的博客
11-25 3499
1.内容概要: 堆栈的作用 查看堆栈的命令 1.1 :程序堆栈的结构: push,pop call, ret等能直接或间接改变sp,bp寄存器的值的指令都会改变栈的结构。 一个线程拥有一个独立的栈,线程执行函数,为每个函数开辟栈帧,函数退出则关闭该函数 的栈帧,回收栈空间,栈结构可以让调试器回溯出函数的调用关系,栈的结构如下: 1.2:windbg中的堆栈命令: 简单介绍常用三个: 注意:...
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
分析C++软件异常需要掌握的汇编知识汇总
dvlinker的技术专栏
05-14 2万+
本文详细地讲述排查C++软件异常时所要了解和掌握的一些汇编方面的基本知识与要点。
使用Windbg分析dump文件排查C++软件异常的一般步骤与要点分享
dvlinker的技术专栏
10-16 2万+
本文详细总结了使用Windbg分析dump文件去排查C++软件异常的一般步骤与方法,供大家借鉴或参考。
X86架构及汇编语言 WINDBG应用
11-16
CPU 架构 通用寄存器介绍 寻址方式 栈机制 常用汇编指令 Windbg的使用
WINDBG配合MASM实现汇编源码调试
01-11
WINDBG配合MASM实现汇编源码调试 大家写汇编的要调试的时候,都是不喜欢用debug这个来调试的,这里我研究了一下,用windbg可以实现像vc6那样调试
利用WinDbg查看堆栈中方法入参的值4(C#)
zxy13826134783的博客
06-11 1393
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。可以看到方法WindbgDemo.DownLoadBp.DownLoadOperation中的参数名称为url,对应的值的地址为:0x0000000003222bd8。本文目的,就是查看导出的dump文件中堆栈中的方法参数值,这样方便后续分析问题。threads查看线程。
windbg】调用栈分析
xl19900502的专栏
04-14 929
一些心得和说明 windbg 还不熟,如有错误,请指正。 调用栈鼓捣了好久,一直没整明白。每次都打算弄明白,结果还是...(泪目啊)。今天,不慌不忙的,把windbg的打印信息都copy出来,再把 ebp、esp、eip都挑出来,看它们的地址变化,然后再,整个表格,看他们是怎么跳转的... 再参考下 对于ESP、EBP寄存器的理解,慢慢的就有头绪了,所以,一定要有耐心,心细梳理。 图 01 创建MFC程序 创建MFC程序,使用以下代码。(参考:对于ESP、EBP寄存器的理解) int FunA
使用windbg观察栈
hb_zxl的专栏
04-05 673
清明时节没出门,在B站上发现一个windbg教程,学习了堆栈一段 https://www.bilibili.com/video/BV1j5411P7Tp?t=150 1.B站内容 Introduction to Windbg Series 1 Part 8 - Commands k for callstack or stackback Basic commands for windbg - kConcept of Callstack -Callstack is the most important i
windbg学习实例2:的手工分析(AWDDBG学习笔记)
weixin_30369041的博客
05-31 183
大多数(并不是所有)高层的内存管理器都使用了Windows管理器,而管理器又会使用虚拟内存管理器: 下图给出了在Windows中支持的内存管理器以及它们之间的关系: 当进程启动时,管理器将自动创建一个新,叫做默认的进程,但是new/delete运算符以及malloc/free等API仍使用CRT来满足它们的内存需求,有些进程还会创建一些额外的(通过HeapCreat...
windbg 观察栈
CAir2的专栏
06-18 1719
1.显示栈回溯(k) k命令选项 f:显示相邻两个栈的内存距离 L:屏蔽源文件信息 k: 命令k输出解析: 每行代表一个函数,也就是一个栈帧。 第一列:栈帧基址。 第二列:函数返回地址 第三列:函数名和执行位置,之后是源文件信息。@符号后面的数字表示当前源文件所在的行。 k命令增加参数L可以屏蔽源文件信息。 kb:显示栈上的前三个参数(不一定是参数,仅仅是三个固定位置的值) kp:根据pd...
windbg分析溢出
Jaylon的专栏
03-02 2286
本文实验的例子来自《windows高级调试》第6.2.2节,参考书中的方法进行。 1.通过windbg分析块 (1)在命令行运行程序,输入参数(输入超过10个字符),在出现如下提示的时候,使用windbg attach到该进程。 (2)按任意键继续执行,执行完后,程序崩溃到windbg,使用kb命令查看堆栈如下: (3)我们看到报的堆栈信息是在HeapFree函...
14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002&gt; ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
Windbg深入解析:调试与汇编级分析必备技巧
然而,当这些方法失效时,需要转向更深入的汇编级别调试,甚至可能涉及到Windows API函数的单步执行。此时,Windbg作为首选的调试工具,因其功能强大,能够进行低级别的内存检查和堆栈跟踪,成为解决问题的关键。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值