CallStack调用栈-用调试器脚本查看调用栈信息.pdfVIP

CallStack调用栈:用调试器脚本查看调用栈 信息 #include int SumToOne(int d, int sum) { sum += d; if (d != 1) sum = SumToOne(d-1, sum); else sum = sum; // 这条语句便利设置断点 return sum; } void main() { int sum = SumToOne(10, 0); printf( “sum=%d “, sum); } 然后，在当前文件夹下，编辑调试器脚本文件DumpStack.txt，内容 如下 .printf “Dump %d framesn “, ${$arg1} r $t1=@ebp; .for (r $t0=1; $t0aaaa “dumpStack.txt “ a) 脚本变量的赋值和引用：这里使用了windbg 别名(alias)的语法，大 家可以把别名类比成 c 中的宏。在赋值的时候，用r $别名= 的格式，引 用的时候，使用$别名 取值操作：c 中的*p 操作在 windbg 中，要用 poi(p)，缘由是由于 windbg 默认支持 MSAM 语法。 掌握语句：.for 语句的使用和任何一种语言的 for 语句思想一样， 不再多述 输出语句：.printf 和 c 中的printf 也根本相像，这里也不多述 了解了语法之后，来看看算法： 脚本通过 poi($t1+8), poi($t1+c)来显示每个 frame 中d 和 sum 的 值，这里$t1 代表了每个 frame 中ebp 的值，所以简洁的说，就是把每个 frame 中 ebp+8，ebp+c 的值输出。在介绍调用商定的博客中，我叙述了 这个偏移量的由来，在这里重温一下。由于函数 SumToOne 是 stdcall， 压栈挨次从右往左，如下表所示 前一个 ebp eip d sum ebp 指向存储前一个 ebo 的位置，所以 d 的位置在ebp+8,sum 在 ebp+c 前往下一个 frame，只需要把栈上 ebp 位置的值取出，作为新的 ebp 就可以了。由于根本上每一个程序在进展栈操作之前都会备份老的 ebp(push ebp)，然后把当前的 esp 作为新的 ebp(mov ebp, esp) 总结一下，今日这篇博文作为这个系列的完毕，通过一个调式器脚本， 复习了之前叙述的调用栈的相关概念。同时也展现了调试器脚本的相关语 法。