深入浅出根据函数调用过程谈栈回溯原理
?
???????????? ? ? ? 通過(guò)分析函數(shù)調(diào)用過(guò)程的堆棧變化,可以看出在被調(diào)函數(shù)的EBP寄存器地址存放的是調(diào)用函數(shù)的EBP寄存器地址,EBP地址+4存放的是函數(shù)調(diào)用完成后的下一條指令存放地址,該指令的前一條指令則是調(diào)用函數(shù)的指令。說(shuō)起來(lái)有點(diǎn)拗口,接下來(lái)代碼分析一下:
? ? ? ? 分析使用的源碼如下:
[cpp] view plaincopyprint?在函數(shù)FunA內(nèi)的任意位置添加斷點(diǎn),然后執(zhí)行代碼,則會(huì)在該處停住,通過(guò)VS的cmd窗口分析步驟如下:
1、? 查看寄存器值,得出EBP=0x002FF734
2、? 根據(jù)該EBP,找到FuncA返回后的指令執(zhí)行地址0x0005142B
3、? 因?yàn)镃ALL函數(shù)執(zhí)行的機(jī)器碼=call機(jī)器碼(1個(gè)字節(jié))+函數(shù)地址(4個(gè)字節(jié)),得出call funcA這條指令的執(zhí)行地址為0x00051426(0x0005142B-5)
4、? 得出指令機(jī)器碼為e8 6b fc ff ff
5、? 機(jī)器碼算出調(diào)用指令地址 0Xfffffc6B+5(五個(gè)字節(jié))+0x00051426(call指令地址)=0x00051096
6、? 查看0x00051096地址得出機(jī)器碼 e9 25 0300 00,該機(jī)器碼顯示為jmp指令
7、 ?再通過(guò)計(jì)算0x000325+5+0x0005196=0x000513c0最終得出調(diào)用函數(shù)的地址。在VS2008窗口中分析命令如下:
通過(guò)實(shí)際查看FunA的函數(shù)入口位置如下所示:
? ? ? ? 通過(guò)以上分析可以得出FunA函數(shù)的調(diào)用地址,但是整個(gè)過(guò)程是沒(méi)辦法知道函數(shù)的名稱(chēng)的,知道函數(shù)名稱(chēng)需要使用.pdb(symbol文件:在編譯過(guò)程中生成的符號(hào)文件)。這邊就不分析了。
? ? ? ? 所以通過(guò)EBP加函數(shù)返回的指令地址可以一步一步的回溯整個(gè)過(guò)程的函數(shù)調(diào)用關(guān)系,也就是所謂的棧回溯原理了。
? ? ? ? 好吧,原理歸原理,我們還是乖乖的命令窗口敲下>kb命令看看整個(gè)的函數(shù)調(diào)用過(guò)程吧。
? ? ? ? ?可以看出到后面VS也沒(méi)法知道整個(gè)系統(tǒng)的符號(hào)文件,只能給出一個(gè)地址。
? ? ? ? ?至此棧回溯原理分析結(jié)束,若有問(wèn)題,請(qǐng)幫忙指出,不勝感激。 創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的深入浅出根据函数调用过程谈栈回溯原理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Winsock网络编程快速入门
- 下一篇: 函数调用 压栈的工作原理