Windbg中查看函数参数

最新推荐文章于 2024-05-13 20:11:45 发布
最新推荐文章于 2024-05-13 20:11:45 发布
阅读量3.6k 收藏 3
点赞数 3
分类专栏: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wonderdaydream/article/details/73554644
版权

前言:2013-06-20记录在sina blog上,现在移过来。

今天在调试的时候想起以前自己在理解Windbg查看参数时的窘迫~所以记录下来

方式一:kb命令

断下后,输入kb,会回显调用堆栈的详细信息如:

Windbg执行kb

第一个是EBP地址;
第二个是返回地址;
从第三个参数开始就依次是函数调用的参数啦,如果要查看里面的具体值可以使用d系列的命令。

方式二:在内存窗口中查看esp

windbg堆栈

要理解在此处通过查看esp从而获取调用参数的真实意义,需要了解函数栈的布局。
简单介绍下:

  • 函数栈的生长方向是从高地址向低地址生长
  • 参数入栈:从右向左
  • 函数栈的基本布局
    函数栈布局
    每个函数在其开始的部分会保存EBP当前值,而我们的断点下在还没有执行到push ebp这一步之前,所以当前esp指向的是返回地址。So,esp+4表示最后压入的参数(也就是最左边的参数),通过esp+4*n(N*)可以遍历传入的参数。
gambolday
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windbg查看函数参数,调用堆栈,及返回值.
王洪敏的专栏
01-16 4922
windbg查看函数参数,调用堆栈,及返回值. bp kernel32!CreateFileW ".echo ---------------------------------------;kL;du poi(@esp+4);gu;.echo =======;r eax;g"   用windbg打开qq看看  0:000> bp kernel32!CreateF
windbg适用于win7系统,亲测32位,64位可用
04-23
- **符号处理**:Windbg可以与Microsoft符号服务器交互,获取函数名、源代码行号等调试信息。 2. 使用场景: - **驱动程序开发**:在开发和测试驱动程序时,Windbg是必不可少的工具,可以捕获和分析内核模式下的...
windbg分析dump操作流程
fzzjoy的专栏
06-18 1万+
1、加载pdb: .reload /i /f 2、查看pdb是否加载成功: lm 3、自动分析指令(通常分析出的是主线程的堆栈) !analyze -v 此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息 如果有,则此堆栈(主线程堆栈)为异常堆栈; 如果没有,则需查看所有线程堆栈: 4、查看所有线程堆栈: ~*
windbg :查看局部变量值
最新发布
因热爱而执着,因执着而成功。
05-13 57
若要打开或切换到“局部变量”窗口,请在“WinDbg”窗口的“ 视图 ”菜单上,选择“ 局部变量”。在windbg,dx(display expression)是一个非常强大和灵活的命令,用于显示和解析复杂的数据结构和表达式。使用dx命令,可以直接在命令行执行表达式,并以易于阅读的方式显示结果。需要注意的是,在使用dx命令之前,需要先加载符号信息,以便能够正确解析表达式和数据类型。现在我们拿到了girl变量的地址 0xe32d6ffad8,注意往下看,同时显示了girl两个成员变量的地址偏移。
Windbg查看函数的参数
aoebug的博客
07-22 9002
Windbg挂载到notepad.exe,在CreateFile函数上下断点 0:001> bp kernel32!CreateFileW 0:001> bp kernel32!CreateFileA 在notepad上选择保存,Windbg停止在CreateFileW的入口点 Breakpoint 1 hit eax=00000000 ebx=00000001 ecx=0007
WinDbg查看函数参数(zz)
08-16 363
WinDbg查看函数参数 //z 2012-08-16 16:22:33 IS2120@csdn.T3953604742[T6,L256,R11,V328] 在使用Windbg给一个函数下断点后,函数断时,我们经常需要查看函数的参数是什么。通常函数断的时机发生在,参数已经被压栈了,执行 call指令(当前EIP被压栈,然后EIP被填充为被调用函数的地址)。此时函数参数...
windbg - 查看函数地址
tuan8888888的博客
02-08 2654
有时候需要查看函数地址,官方地址https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/x--examine-symbols- 示例:x /D /f lec_teacher!c* 以下命令将查找 MyModule 包含字符串 "spin" 的所有符号。 0:000> x mymodule!*spin* 以下命令快速查找 MyModule 的 "DownloadMinor" 和 "Downloa..
WINDBG查看托管堆栈函数参数的值
weixin_38168173的博客
09-09 393
我们在使用WINDBG 做LIVE debug时,经常需要在想停下来的函数上打个断点(打断点的方法我就不在这里说了,可以参看我以前的一些windbg随笔),然后用!clrstack -p 来看看调用堆栈和调用参数。但是如果函数的参数如有泛型参数的时候,这种方法就有问题了。clrstack 的结果大致如下:0:004> !clrstack -pOS Thread Id: 0x172...
windbg使用.docx
04-07
analyze -v` 命令对主线程的堆栈进行自动分析,然后使用 `kbn` 命令查看堆栈信息,接着使用 `dd` 命令查看函数参数,最后使用 `.cxr` 命令查看上下文信息。 Windbg 是一个功能强大的调试工具,对于 Windows 操作...
WinDbg-6.11-汉化版
10-09
5. **符号管理**:WinDbg可以加载和管理符号文件(.pdb),这些文件包含了程序的变量名和函数名等信息,使得调试过程可以显示有意义的变量和地址。 6. **事件记录和回放**:记录调试过程的事件,以便后续分析或...
WinDbg_cmds.rar_windbg
09-14
- `kb`: 显示当前堆栈的详细信息,包括调用函数及参数。 - `lma`: 列出内存映射区,有助于理解进程的内存布局。 - `lm`: 列出模块,包括加载的动态链接库(DLL)。 - `r`: 显示寄存器当前值,包括CPU状态。 - `...
Windbg命令用法详解
02-21
- `k`: 同上,但只显示函数地址,不包含参数。 - `!callstack`: 更详细的调用堆栈信息。 6. **符号处理** - `.reload /f`: 重新加载符号表。 - `!sym noisy`: 打开符号调试信息,帮助定位符号问题。 - `!dlls`...
函数的参数
weixin_30765505的博客
04-06 120
函数传参有三种方式:堆栈方式,寄存器方式,以及通过全局变量进行隐含参数的传递 1.堆栈方式: 约定类型 __cdecl(C规范) PASCAL stdcall Fastcall 参数传递顺序 从右到左 从左到右 从右到左 使用寄存器和堆栈 平衡堆栈者 调用者 子程序 子程序 子程序 允许使用VARARG(不定参数) ...
WinDBG查看变量的命令
輚至消亡
11-02 1879
WinDBG查看变量的命令 命令 ============ dv Display Variable的缩写, 查看局部变量. dv /i 查看局部变量, 并显示符号的类型和参数类型. dv /V 查看局部变量, 并显示变量的存储位置. dv /V VariableName 指定需要查看的变量的名字 dv 02sample!gGlo* dv命令可以带有通配符, 来查看具有某命名模式的变量. 举例: dt Display...
14.windbg-k、u、x(堆栈查看、汇编查看函数查找)
热门推荐
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
WinDbg命令详解--栈
Arbboter的专栏
03-17 1880
k指令单独使用时,只显示栈地址、返回地址、函数名信息。如果需要其他信息需要使用参数,常见的有: b 显示函数调用时的前三个参数 c 只显示函数名 p 显示函数的所有参数,包括参数的名字、类型、值。 v 显示帧指针遗漏(FPO)信息。在基于x86处理器, 显示器还包括调用约定信息 n 显示调用栈的每帧编号 f 显示调用栈的每帧占用字节数 默认情况下使用k显
WinDbg基本使用
qq_43179054的博客
02-03 1679
本文主要是windbg的简介以及常用的命令介绍
windbg 常用调试命令总结
就是那个党伟
10-16 2733
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
利用WinDbg查看堆栈方法入参的值4(C#)
zxy13826134783的博客
06-11 1342
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。可以看到方法WindbgDemo.DownLoadBp.DownLoadOperation的参数名称为url,对应的值的地址为:0x0000000003222bd8。本文目的,就是查看导出的dump文件堆栈的方法参数值,这样方便后续分析问题。threads查看线程。
我想在windbg查看 函数的反汇编该如何操作
06-02
要在Windbg查看函数的反汇编代码,可以使用 "u" (unassemble) 命令。以下是一些基本的步骤: 1. 打开需要调试的程序并附加到Windbg。 2. 在Windbg输入 "u <函数名>" 命令,例如 "u kernel32!CreateFileW"。 3. Windbg会显示该函数的反汇编代码。 4. 如果你想查看反汇编代码的十六进制表示,可以使用 "uf" (unassemble function) 命令。 5. 如果你想查看指定地址的反汇编代码,可以使用 "u <地址>" 命令,例如 "u 00401000"。 6. 如果你想在反汇编代码显示符号名称而不是地址,可以使用 ".lines" 命令打开源代码行号显示。 希望这些命令能帮助你在Windbg查看函数的反汇编代码。如果还有其他问题,请随时问我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值