【windbg】调用栈分析

最新推荐文章于 2024-05-30 11:46:42 发布
最新推荐文章于 2024-05-30 11:46:42 发布
阅读量874 收藏 3
点赞数 1
分类专栏: MFC/VC++ 原创 文章标签: windbg 调试 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xl19900502/article/details/115708643
版权

一些心得和说明

  • windbg 还不熟,如有错误,请指正。
  • 调用栈鼓捣了好久,一直没整明白。每次都打算弄明白,结果还是...(泪目啊)。今天,不慌不忙的,把windbg的打印信息都copy出来,再把 ebp、esp、eip都挑出来,看它们的地址变化,然后再,整个表格,看他们是怎么跳转的... 再参考下 对于ESP、EBP寄存器的理解,慢慢的就有头绪了,所以,一定要有耐心,心细梳理。
图 01

创建MFC程序

创建MFC程序,使用以下代码。(参考:对于ESP、EBP寄存器的理解

int FunAdd(int iPara1, int iPara2)
{
	int iAdd = 7;
	int iResult = iPara1 + iPara2 + iAdd;
	return iResult;
}

// button 响应函数
void CMFCApp2015Dlg::OnBnClickedBtnDo()
{
	int iVal1 = 5;
	int iVal2 = 6;
	int iRes = FunAdd(iVal1, iVal2);
}

Windbg调试

  • Step1:Windbg -> Open Executable...,打开待调试的exe。
  • Step2:加入断点。
# 格式:bp module!symbol_name
bp MFCApp2015!FunAdd

bp MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo
  • 点击button,开始调试。下面是调试过程中的寄存器等信息。

0:000> r (查看寄存器信息)

eax=00000000 ebx=00000000 ecx=002afc18 edx=00000000 esi=002aef34 edi=002aef34

eip=00ee5d90 esp=002aef30 ebp=002aefd0 iopl=0         nv up ei pl zr na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200246

// 命中断点,进入到 OnBnClickedBtnDo

MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo:

00ee5d90 55              push    ebp

 

0:000> p(F10单步执行)

eax=cccccccc ebx=00000000 ecx=002afc18 edx=00000000 esi=002aef34 edi=002aef2c

eip=00ee5db3 esp=002aee30 ebp=002aef2c iopl=0         nv up ei pl nz na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200206

 

MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo+0x23:

// 执行 int iVal1 = 5; 5 放入 [ebp-14h] 这个地址中

00ee5db3 c745ec05000000  mov     dword ptr [ebp-14h],5 ss:002b:002aef18=cccccccc

 

0:000> dw ebp-14h(查看地址所对应的内存)

// 当前ebp为 0x002aef2c,ebp - 14h 就是 0x002aef18,该地址的内容就是 5,说明int iVal1 = 5;执行成功
002aef18  0005 0000 cccc cccc cccc cccc fc18 002a

 

0:000> p(F10单步执行)

eax=cccccccc ebx=00000000 ecx=002afc18 edx=00000000 esi=002aef34 edi=002aef2c

eip=00ee5dba esp=002aee30 ebp=002aef2c iopl=0         nv up ei pl nz na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200206

MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo+0x2a:

// 分析同上,iVal1 、iVal2 两个变量地址未连续的原因尚不清楚

00ee5dba c745e006000000  mov     dword ptr [ebp-20h],6 ss:002b:002aef0c=cccccccc

 

0:000> p(F10单步执行)

eax=cccccccc ebx=00000000 ecx=002afc18 edx=00000000 esi=002aef34 edi=002aef2c

eip=00ee5dc1 esp=002aee30 ebp=002aef2c iopl=0         nv up ei pl nz na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200206

MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo+0x31:

// 不知道为什么要move 到 eax 寄存器,等我回家找到转汇编的网址再来分析

00ee5dc1 8b45e0          mov     eax,dword ptr [ebp-20h] ss:002b:002aef0c=00000006

 

0:000> p(F10单步执行)

Breakpoint 0 hit

eax=00000006 ebx=00000000 ecx=00000005 edx=00000000 esi=002aef34 edi=002aef2c

eip=00ee7cc0 esp=002aee24 ebp=002aef2c iopl=0         nv up ei pl nz na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200206

MFCApp2015!FunAdd:

// 准备进入FunAdd,此时ebp的值是 ebp=002aef2c,push入栈。存 002aef2c 的地址是 ebp=002aee20,下一条指令就能反应出来了。

00ee7cc0 55              push    ebp

 

0:000> p(F10单步执行)

eax=cccccccc ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aee20

eip=00ee7cde esp=002aed3c ebp=002aee20 iopl=0         nv up ei pl nz ac pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200216

MFCApp2015!FunAdd+0x1e:

// 执行 int iAdd = 7; 7 放入 [ebp-8] 这个地址中

00ee7cde c745f807000000  mov     dword ptr [ebp-8],7  ss:002b:002aee18=cccccccc

 

0:000> kb(产看调用栈)

 # ChildEBP RetAddr  Args to Child

// 002aee20 FunAdd的ebp, 002aef2c d则是 OnBnClickedBtnDo  的ebp。

// 00ee5dce 是返回地址,后面会讲到。   

// 00000005 00000006 FunAdd 的入参。

00 002aee20 00ee5dce 00000005 00000006 002aef34 MFCApp2015!FunAdd+0x1e

01 002aef2c 0ff859d1 002aeff4 002aeff4 cccccccc CMFCApp2015Dlg::OnBnClickedBtnDo+0x3e

02 002aefd0 0ff85318 002afc18 000003ec 00000000 mfc140ud!_AfxDispatchCmdMsg+0xe1

 

0:000> p(F10单步执行)

eax=cccccccc ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aee20

eip=00ee7ce5 esp=002aed3c ebp=002aee20 iopl=0         nv up ei pl nz ac pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200216

MFCApp2015!FunAdd+0x25:

// 我也不知道说啥,大概就是执行个加法

00ee7ce5 8b4508          mov     eax,dword ptr [ebp+8] ss:002b:002aee28=00000005

 

0:000> r(查看寄存器信息)

// eax=00000012 是累加器已经是0x12,即 18 = 5 + 6 + 7。

eax=00000012 ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aee20

eip=00ee7cf1 esp=002aed3c ebp=002aee20 iopl=0         nv up ei pl nz ac pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200216

MFCApp2015!FunAdd+0x31:

00ee7cf1 8b45ec          mov     eax,dword ptr [ebp-14h] ss:002b:002aee0c=00000012

 

0:000> dt iResult(查看iResult的值)

// 0x2aee0c 是iResult的地址,下面的18则是它的值。用 (dw 0x2aee0c )也可以看它的值。 

Local var @ 0x2aee0c Type int

0n18

 

0:000> p(F10单步执行)

eax=00000012 ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aee20

eip=00ee7cf4 esp=002aed3c ebp=002aee20 iopl=0         nv up ei pl nz ac pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200216

// 准备退出 FunAdd

MFCApp2015!FunAdd+0x34:

00ee7cf4 5f              pop     edi

 

0:000> p(F10单步执行)

eax=00000012 ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aef2c

eip=00ee5dce esp=002aee28 ebp=002aef2c iopl=0         nv up ei pl nz ac pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200216

// 退回到 OnBnClickedBtnDo了,ebp 的值重回 002aef2c ,eip 指向了 FunAdd 的RetAddr,即 eip=00ee5dce

MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo+0x3e:

00ee5dce 83c408          add     esp,8

 

0:000> kb(产看调用栈)

 # ChildEBP RetAddr  Args to Child             

00 002aef2c 0ff859d1 002aeff4 002aeff4 cccccccc MFCApp2015!OnBnClickedBtnDo+0x3e

01 002aefd0 0ff85318 002afc18 000003ec 00000000 mfc140ud!_AfxDispatchCmdMsg+0xe1

 

0:000> p(F10单步执行)

eax=00000012 ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aef2c

eip=00ee5dd4 esp=002aee30 ebp=002aef2c iopl=0         nv up ei pl nz ac pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200216

MFCApp2015!CMFCApp2015Dlg::OnBnClickedBtnDo+0x44:

00ee5dd4 5f              pop     edi

 

0:000> p(F10单步执行)

eax=00000012 ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aef34

eip=0ff859d1 esp=002aef34 ebp=002aefd0 iopl=0         nv up ei pl zr na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200246

// 已退出 OnBnClickedBtnDo

mfc140ud!_AfxDispatchCmdMsg+0xe1:

0ff859d1 3bf4            cmp     esi,esp

 

0:000> r(查看寄存器信息)

eax=00000012 ebx=00000000 ecx=00000000 edx=00000000 esi=002aef34 edi=002aef34

eip=0ff859d1 esp=002aef34 ebp=002aefd0 iopl=0         nv up ei pl zr na pe nc

cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00200246

mfc140ud!_AfxDispatchCmdMsg+0xe1:

0ff859d1 3bf4            cmp     esi,esp

windbg调试のESP EIP EBP

图02

上图是整个调试过程中 eip、esp、ebp的变化过程。

EIP寄存器:存储当前执行指令的内存位置。

EBP寄存器:表明当前栈帧的栈底。

ESP寄存器:表明当前栈帧的栈顶。

从图中可以看出,EBP寄存器,在进入一个栈帧后,就维持不变了,因此一些变量的值也是根据它的偏移量来算的(这句话没有依据,自己总结的,谨慎参考)。

因为指令一直在跑,所以EIP一直在变动。

ESP ? : 指的是栈顶,那就看有没有数据出入栈,但上图中ESP的数据变化还没弄明白

windbg调试の栈布局

图03
图04

 

上图是整个调试过程中的栈布局,其中的几个要点:

  • 用图03去验证图04,能对应上。(第1张图的准确性很高,是我从书上抄过来的。大家可以拿这张图作为参考。)
  • 图04 中的esp*、ebp* 和 图02中的一一对应。

windbg调试の调用栈

图05
图06
  • 关注图05 ChildEBP,可以发现 0x002aee20中保存着0x002aef2c;0x002aef2c则保存着 0x002aefd0。(参照图04)
  • 关注图05 RetAddr,再对比图06,可以发现 RetAddr 所指地址,是代码所在地址,而不是栈所在地址。

windbg调试@变量查看

图07
图08

调试过程中的变量查看,图中有变量的地址与值。可以与图04一一对应上。

sail0323
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbg查看没有正常显示的函数堆栈信息
spacegrass的专栏
11-29 4819
工作中难免需要查看dump,现在VC2015对dump的解析已经非常好了,自动化程度做的也很不错,只要设置了symbol路径,则绝大部分dump都可以自动解析。但有的dump,函数堆栈不够清晰,默认情况下windbg/cv2015都无法准确解析,这里就需要windbg来手动处理了。处理步骤如下: 1. 问题示例。 0:025> knb  # ChildEBP RetAddr   WARNI
获取窗口调用.rar
07-26
这个工具可能涉及的关键技术包括Windows API的使用,如`EnumWindows`、`GetWindowThreadProcessId`、`CallStack`等函数,以及可能涉及到的调试技术,如使用WinDbg或Visual Studio的调试器来查看和分析调用
windbg - 查看调用
tuan8888888的博客
02-08 1492
分析崩溃时候,经常会查看调用,正确理解调用中的各字段的含义对于排查问题至关重要,所以本篇重点介绍下,如何查看调用。 查看调用,kb 如下图 调用命令,可以观看官方文档 :https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/k--kb--kc--kd--kp--kp--kv--display-stack-backtrace- ||2:2:196> kb *** Stack trace for las.
windbg 定位正确UnhandledExceptionFilter 调用堆栈
最新发布
qq_43179054的博客
05-30 215
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现UnhandledExceptionFilter这种情况,会弹出下图的系统错误弹窗遇到此错误时,手动获取问题进程的dump文件,您可以按照本文来标识导致异常的 DLL 中的步骤。
Windbg Step 2 分析程序堆栈实战
weixin_30322405的博客
09-20 141
转载+整理 http://www.cnblogs.com/killmyday 代码 #include"stdafx.h"#include<tchar.h>#ifdef_UNICODE#define_ttol_wtol#else#define_ttolatol#endifvoidUsage(){#ifdef_UNICODEwprintf(L"[Usa...
Windbg -- 查看调用堆栈
热门推荐
while(1) { smile(); }
02-12 9万+
一. 显示堆栈信息 k*命令 [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr [FrameCount] [~Thread] k[b|p|P|v] [c] [n] [f] [L] [M] = BasePtr StackPtr Instr...
windbg汇编函数堆栈知识
u012910342的博客
03-06 511
使用windbg分析CPU、内存、崩溃、调试等,难免会遇到汇编代码,尤其堆栈信息。指令码和汇编一一对应。除了汇编、C/C++程序编译的二进制文件是CPU识别的指令码。其它C#、JAVA编译后的二进制文件,都是自身语言的解释性指令,运行过程,还需要解析成CPU识别的指令码,才能被执行。
windbg图形工具 dump分析工具
06-26
Windbg是一款功能强大的调试工具,尤其在Windows操作系统中,它被广泛用于系统崩溃、性能问题以及内存泄漏等故障的分析。这款工具不仅支持命令行操作,还提供了图形用户界面(GUI),使得对Dump文件的分析更为直观和...
WINDBG调试介绍 方式
08-16
这是因为符号文件能够帮助调试者了解程序内部的具体情况,比如变量值、调用等。 #### 三、Crashdump Files Crashdump 文件是在系统或应用程序发生故障时自动生成的,用于记录故障发生时刻的关键状态信息。根据其...
Windows 调试程序 (WinDbg)
01-14
5. **检查调用**:`k`命令显示当前的函数调用,帮助理解程序执行路径。 6. **读取和修改寄存器**:`r`命令显示所有CPU寄存器的值,`r <register>=<value>`可修改寄存器。 7. **分析转储文件**:使用`open dump...
windbg调试工具.zip
01-08
- **异常堆栈跟踪**:通过查看异常堆栈,开发者可以了解错误发生的具体位置,以及调用上的函数序列,这对于定位问题至关重要。 - **内存检查**:Windbg允许检查进程内存,查看变量值,查找内存泄漏,以及检查...
windbg 观察
CAir2的专栏
06-18 1635
1.显示回溯(k) k命令选项 f:显示相邻两个的内存距离 L:屏蔽源文件信息 k: 命令k输出解析: 每行代表一个函数,也就是一个帧。 第一列:帧基址。 第二列:函数返回地址 第三列:函数名和执行位置,之后是源文件信息。@符号后面的数字表示当前源文件所在的行。 k命令增加参数L可以屏蔽源文件信息。 kb:显示上的前三个参数(不一定是参数,仅仅是三个固定位置的值) kp:根据pd...
windbg分析溢出
Jaylon的专栏
02-23 1846
本文根据《windows高级调试》5.2.2章节提供的示例进行的实验,在win10平台,使用该书提供的bin文件进行调试,因平台不一样在实验过程中发现跟书上有些不同,本章书上的一些调试方法的正确性有待商榷(可以留言讨论)。 调试准备 (1)代码,见文章末尾; (2)将以下注册表保存到.reg后缀的文件,点击添加到注册表; Windows Registry Editor Version...
使用windbg观察
hb_zxl的专栏
04-05 650
清明时节没出门,在B站上发现一个windbg教程,学习了堆栈一段 https://www.bilibili.com/video/BV1j5411P7Tp?t=150 1.B站内容 Introduction to Windbg Series 1 Part 8 - Commands k for callstack or stackback Basic commands for windbg - kConcept of Callstack -Callstack is the most important i
WinDbg命令详解--
Arbboter的专栏
03-17 1888
k指令单独使用时,只显示地址、返回地址、函数名信息。如果需要其他信息需要使用参数,常见的有: b 显示函数调用时的前三个参数 c 只显示函数名 p 显示函数的所有参数,包括参数的名字、类型、值。 v 显示帧指针遗漏(FPO)信息。在基于x86处理器, 显示器还包括调用约定信息 n 显示调用的每帧编号 f 显示调用的每帧占用字节数 默认情况下使用k显
如何使用windbg查看C#某个线程的大小 ?
dotNET跨平台
03-10 423
每一个线程都有一个叫 TEB(Thread Environment Block) 的线程环境块数据结构,这个结构中有一个叫做 NT_TIB 的结构,它里面有两个字段分别为 StackBas...
windbg 定位分析释放堆崩溃的问题
过好每一天的女胖子
03-01 505
RtlFreeHeap释放堆异常
windbg调试时,找不到的正确堆栈的一种方法
weixin_34186931的博客
08-10 479
2019独角兽企业重金招聘Python工程师标准>>> ...
Windbg调试八)崩溃捕捉的dump没有提供堆栈的问题
bajianxiaofendui的博客
09-13 1万+
崩溃捕捉的dump没有提供堆栈的问题 前两天客户现场出现了崩溃,但是程序捕捉生成的dump文件大小为0kb,没有办法只能通过任务管理器创建转储文件进行分析,但是分析这个dump时,却看不到任何有效的对战信息。输入!analyze -v命令输出如下: 通过此堆栈信息看不出任何崩溃的具体原因。再输入~*kv命令查看所有线程的堆栈: 可以看到崩溃的线程,输入~56s切换到该线程,再输入kv查看该线程的堆...
WinDBG调试技巧:观察回溯
"本文主要介绍了如何使用WinDBG这一强大的调试工具来观察和分析,特别是回溯的原理和WinDBG中的k系列命令。WinDBG不仅适用于用户态调试,还支持内核态调试调试转储文件和远程调试,具备高度的灵活性和可扩展性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值