WinDBG Xem các đối số được truyền cho bất kỳ chức năng nào

Question

Tôi đang sử dụng windbg để gỡ lỗi một tệp thực thi Windows. Tôi muốn biết làm thế nào tôi có thể thấy các đối số được truyền cho bất kỳ hàm nào bằng cách sử dụng WinDBG.

Ví dụ: Nếu tôi muốn biết các tham số được chuyển đến hàm Kernel32! CreatefileA bằng Trình gỡ lỗi miễn phí hoặc Trình gỡ lỗi Olly Tôi sẽ đặt điểm ngắt tại điểm nhập của Kernel32! CreatefileA.

Bây giờ ở góc dưới cùng bên phải của cửa sổ trình gỡ lỗi, tôi có thể thấy rõ các thông số đang được chuyển đến Kernel32! CreatefileA theo chương trình. Giống như ảnh chụp màn hình này.

Vì vậy, câu hỏi của tôi là cách làm thế nào tôi có thể nhận được một cái nhìn tương tự như các thông số thông qua sử dụng WinDBG.Is thre cách nào ??

Có plugin nào có thể đại diện cho ngăn xếp trực quan như olly hoặc miễn dịch không ??

Cảm ơn trước

Answer 1

Nếu bạn có những biểu tượng riêng, dv sẽ cho bạn thấy người dân địa phương và tranh luận. Ngoài ra còn có một cửa sổ "Người dân địa phương" có thể được mở bằng Alt+3 nếu bạn thích sử dụng GUI.

Nếu các biểu tượng không có sẵn, nó không phải là khá dễ dàng như vậy. Bạn có thể bắt đầu với kv để xem các đối số thô và quy ước gọi điện. Một khi bạn biết quy ước gọi, bạn biết nơi các đối số được lưu trữ (ngăn xếp và/hoặc sổ đăng ký), và đó là vấn đề giải mã bố trí của chúng trong bộ nhớ.