S.l.e!ep.￠%

像打了激速一樣，以四倍的速度運(yùn)轉(zhuǎn)，開心的工作
簡(jiǎn)單、開放、平等的公司文化；尊重個(gè)性、自由與個(gè)人價(jià)值；

posts - 1098, comments - 335, trackbacks - 0, articles - 1

C++博客 :: 首頁(yè) :: 新隨筆 :: 聯(lián)系 :: 聚合

WinDbg 查看參數(shù)內(nèi)容

Posted on 2009-11-02 17:26 S.l.e!ep.￠% 閱讀(1822) 評(píng)論(0) 編輯收藏引用所屬分類: WinDbg

kb查看函數(shù)堆棧
0:000>?kb
ChildEBP?RetAddr??Args?to?Child??????????????
0007d838?7632beb6?0007dea8?40000000?00000003?kernel32!CreateFileW
0007e0bc?7632741f?0007e0e8?00000000?004a0398?comdlg32!CFileOpenBrowser::OKButtonPressed+0x905
0007e2fc?76327327?0020029c?00230450?000ced30?comdlg32!CFileOpenBrowser::ProcessEdit+0x192
0007e33c?7632274e?00000001?00230450?0007e5e4?comdlg32!CFileOpenBrowser::OnCommandMessage+0x1d3
0007e57c?77d18734?0020029c?00000111?00000001?comdlg32!OpenDlgProc+0x2f5
0007e5a8?77d2418d?763225e4?0020029c?00000111?USER32!InternalCallWinProc+0x28
0007e614?77d23fd9?00000000?763225e4?0020029c?USER32!UserCallDlgProcCheckWow+0x146
0007e65c?77d2cb2b?00000000?00000111?00000001?USER32!DefDlgProcWorker+0xa8
0007e68c?77d1b903?005c3200?005bfea8?00000001?USER32!SendMessageWorker+0x384
0007e6ac?771a7344?0020029c?00000111?00000001?USER32!SendMessageW+0x7f
0007e6cc?771a7426?000d0dd0?00000000?00090014?COMCTL32!Button_NotifyParent+0x3d
0007e6e8?771a972b?000d0dd0?00000001?0007e7e0?COMCTL32!Button_ReleaseCapture+0xd7
0007e778?77d18734?00230450?00000202?00000000?COMCTL32!Button_WndProc+0x887
0007e7a4?77d18816?771a8ea4?00230450?00000202?USER32!InternalCallWinProc+0x28
0007e80c?77d1c63f?00000000?771a8ea4?00230450?USER32!UserCallWinProcCheckWow+0x150
0007e83c?77d1c665?771a8ea4?00230450?00000202?USER32!CallWindowProcAorW+0x98
0007e85c?76322dc5?771a8ea4?00230450?00000202?USER32!CallWindowProcW+0x1b
0007e878?77d18734?00230450?00000202?00000000?comdlg32!OKSubclass+0x46
0007e8a4?77d18816?76322d82?00230450?00000202?USER32!InternalCallWinProc+0x28
0007e90c?77d189cd?00000000?76322d82?00230450?USER32!UserCallWinProcCheckWow+0x150

其次，查看ESP，ESP的地址保存的就是EIP的內(nèi)容，那么ESP+4就是函數(shù)的第一個(gè)參數(shù)，ESP+8是第二個(gè)參數(shù)，根據(jù)函數(shù)的參數(shù)個(gè)數(shù)，以此類推。
在上面的例子中（ESP為7d83c）
0:000>?dd?7d83c
0007d83c??7632beb6?0007dea8?40000000?00000003
0007d84c??00000000?00000001?00000080?00000000
0007d85c??0007e0e8?000ced30?00000000?000ced30
0007d86c??00000000?00000000?00000003?00000000
0007d87c??00000000?0007e0e8?00000000?00000000
0007d88c??00000002?00620061?00000063?00000014
0007d89c??00000001?00000000?00000000?00000010
0007d8ac??00000000?0007d8c4?00000000?00000000

那么0007d83c的內(nèi)容7632beb6就是對(duì)應(yīng)的EIP了，7d83c+4，就是CreateFileW的第一個(gè)參數(shù)，我們可以用dW來(lái)look一下就能看到參數(shù)的內(nèi)容了。

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: WINDBG 的條件斷點(diǎn) WinDBG+VMware=調(diào)試內(nèi)核 [轉(zhuǎn)載] windbg及軟件調(diào)試的在線資源將Windbg的命令執(zhí)行結(jié)果輸出到Log文件 WinDbg 命令集錦小覽CallStack(調(diào)用棧)(三)-用調(diào)試器腳本查看調(diào)用棧信息小覽call stack(調(diào)用棧) (二)——調(diào)用約定小覽call stack(調(diào)用棧) (一) WinDbg 查看參數(shù)內(nèi)容在內(nèi)核調(diào)試會(huì)話中設(shè)置用戶態(tài)斷點(diǎn)

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問(wèn) Chat2DB 管理

S.l.e!ep.￠%

WinDbg 查看參數(shù)內(nèi)容

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊(cè)

收藏夾(3)

DataStruct

搜索

積分與排名

最新評(píng)論

閱讀排行榜

評(píng)論排行榜