注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Code@Pig Home

喜欢背着一袋Code傻笑的Pig .. 忧美.欢笑.记忆.忘却 .之. 角落

 
 
 

日志

 
 

[windbg] 查看函数的参数  

2012-08-11 08:49:00|  分类: win32 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
对于 __stdcall 的函数,栈信息如下。从 ebp 向上跑 2 个 void *,就是函数的参数了。win32 api 大多是 WINAPI(__stdcall) 格式的。
[windbg] 查看函数的参数 - kasicass - Code@Pig Home

 

好,开始调试:cdb.exe notepad.exe

[windbg] 查看函数的参数 - kasicass - Code@Pig Home
尝试给 CreateWindow 设断点,奇怪,怎么找不到。
用 x 查询下,哦,有个 CreateWindowEx。恩,肯定是 #define 了。
好,给 A, W 版本都下个断点。
 
[windbg] 查看函数的参数 - kasicass - Code@Pig Home
好,用 g 继续跑。
嘿,果然断下来了。用 u 看看汇编。
push ebp   /    mov ebp, esp         这两句就是 save old ebp 和设置 current ebp (对照最早的 stack layout 看看)
 
[windbg] 查看函数的参数 - kasicass - Code@Pig Home
连续 t 三下,让 current ebp 设置好。
 
[windbg] 查看函数的参数 - kasicass - Code@Pig Home
对了,还没看过 call stack 呢,用 kP 浏览下。
 
[windbg] 查看函数的参数 - kasicass - Code@Pig Home
 用 dd 察看下 ebp 地址上的数据。
根据 stack layout,可以知道红圈就是函数参数的开始。
根据 MSDN,第二个参数是 WindowName,用 du (display as unicode) 看看。额,为啥看不到呢?
对了,我们 bp 的是 CreateWindowExW,CreateWindowW 只是这家伙的一个 #define。
看看 MSDN,CreateWindowExW 第三个参数才是 WindowName,好,du看看,果然ok了。
不过 CreateWindowExW 第二个参数是 ClassName,为啥是 ??? 就不知道了。
 
 
 

 

  评论这张
 
阅读(2458)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017