S.l.e!ep.￠%

像打了激速一樣，以四倍的速度運轉，開心的工作
簡單、開放、平等的公司文化；尊重個性、自由與個人價值；

posts - 1098, comments - 335, trackbacks - 0, articles - 1

WinDbg 查看參數內容

Posted on 2009-11-02 17:26 S.l.e!ep.￠% 閱讀(1833) 評論(0) 編輯收藏引用所屬分類: WinDbg

kb查看函數堆棧
0:000>?kb
ChildEBP?RetAddr??Args?to?Child??????????????
0007d838?7632beb6?0007dea8?40000000?00000003?kernel32!CreateFileW
0007e0bc?7632741f?0007e0e8?00000000?004a0398?comdlg32!CFileOpenBrowser::OKButtonPressed+0x905
0007e2fc?76327327?0020029c?00230450?000ced30?comdlg32!CFileOpenBrowser::ProcessEdit+0x192
0007e33c?7632274e?00000001?00230450?0007e5e4?comdlg32!CFileOpenBrowser::OnCommandMessage+0x1d3
0007e57c?77d18734?0020029c?00000111?00000001?comdlg32!OpenDlgProc+0x2f5
0007e5a8?77d2418d?763225e4?0020029c?00000111?USER32!InternalCallWinProc+0x28
0007e614?77d23fd9?00000000?763225e4?0020029c?USER32!UserCallDlgProcCheckWow+0x146
0007e65c?77d2cb2b?00000000?00000111?00000001?USER32!DefDlgProcWorker+0xa8
0007e68c?77d1b903?005c3200?005bfea8?00000001?USER32!SendMessageWorker+0x384
0007e6ac?771a7344?0020029c?00000111?00000001?USER32!SendMessageW+0x7f
0007e6cc?771a7426?000d0dd0?00000000?00090014?COMCTL32!Button_NotifyParent+0x3d
0007e6e8?771a972b?000d0dd0?00000001?0007e7e0?COMCTL32!Button_ReleaseCapture+0xd7
0007e778?77d18734?00230450?00000202?00000000?COMCTL32!Button_WndProc+0x887
0007e7a4?77d18816?771a8ea4?00230450?00000202?USER32!InternalCallWinProc+0x28
0007e80c?77d1c63f?00000000?771a8ea4?00230450?USER32!UserCallWinProcCheckWow+0x150
0007e83c?77d1c665?771a8ea4?00230450?00000202?USER32!CallWindowProcAorW+0x98
0007e85c?76322dc5?771a8ea4?00230450?00000202?USER32!CallWindowProcW+0x1b
0007e878?77d18734?00230450?00000202?00000000?comdlg32!OKSubclass+0x46
0007e8a4?77d18816?76322d82?00230450?00000202?USER32!InternalCallWinProc+0x28
0007e90c?77d189cd?00000000?76322d82?00230450?USER32!UserCallWinProcCheckWow+0x150

其次，查看ESP，ESP的地址保存的就是EIP的內容，那么ESP+4就是函數的第一個參數，ESP+8是第二個參數，根據函數的參數個數，以此類推。
在上面的例子中（ESP為7d83c）
0:000>?dd?7d83c
0007d83c??7632beb6?0007dea8?40000000?00000003
0007d84c??00000000?00000001?00000080?00000000
0007d85c??0007e0e8?000ced30?00000000?000ced30
0007d86c??00000000?00000000?00000003?00000000
0007d87c??00000000?0007e0e8?00000000?00000000
0007d88c??00000002?00620061?00000063?00000014
0007d89c??00000001?00000000?00000000?00000010
0007d8ac??00000000?0007d8c4?00000000?00000000

那么0007d83c的內容7632beb6就是對應的EIP了，7d83c+4，就是CreateFileW的第一個參數，我們可以用dW來look一下就能看到參數的內容了。

只有注冊用戶登錄后才能發表評論。


相關文章: WINDBG 的條件斷點 WinDBG+VMware=調試內核 [轉載] windbg及軟件調試的在線資源將Windbg的命令執行結果輸出到Log文件 WinDbg 命令集錦小覽CallStack(調用棧)(三)-用調試器腳本查看調用棧信息小覽call stack(調用棧) (二)——調用約定小覽call stack(調用棧) (一) WinDbg 查看參數內容在內核調試會話中設置用戶態斷點

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

S.l.e!ep.￠%

WinDbg 查看參數內容

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊

收藏夾(3)

DataStruct

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜