k = <rsp> <rip> <frame_count>
x64下manual stack walking與x86不同，x86一般情況下有ebp chain，x64沒有ebp chain，類似x86的FPO
x64下，rsp在函數執行完prologue之后就不會變化(調用約定)；
所以
0.如果函數內執行了call指令，call指令返回地址壓棧后，rsp就會減8；
1.也就是說，在stack reconstruction時，識別到返回地址所在的棧地址，再加8，就是當前函數執行完prologue的rsp；
2.由于x64非葉子函數有function table entry，記錄unwind info，包括prologue操作，所以根據unwind info，可以還原進入當前函數時rsp的值，這個值就是指向本函數執行完時的返回地址；
3.這時在回到步驟1，就是stack walking；

參考

http://blogs.msdn.com/b/ntdebugging/archive/2010/05/12/x64-manual-stack-reconstruction-and-stack-walking.aspx

?

調用約定

amd64規范，rdi,rsi,rdx,rcx,r8,r9,棧

ms規范，rcx,rdx,r8,r9,棧

func1(int a, int b, int c, int d, int e);

// a in RCX, b in RDX, c in R8, d in R9, e pushed on stack

注意，無論是amd還是ms，寄存器傳送的參數在棧上都有home space，callee可選擇是否把寄存器參數回寫棧，debug下通常會，release下home space會作其他用途

?

函數參數識別

由于參數用寄存器傳送，所以release下，參數查找會比較麻煩，通常做法是1.查看匯編代碼，看參數傳到那里才mov到棧；2.查看參數來源；

轉載于:https://www.cnblogs.com/hjbf/p/10414489.html

總結

以上是生活随笔為你收集整理的x64 stack walking、调用约定、函数参数识别的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。