WinDBG에서 Windows 덤프 파일을 조사하고 있습니다. 나는 명령 프레임에 의해 호출 스택 프레임을 전환 할 수 있습니다.하지만 레지스터는 항상 마지막 컨텍스트를 포함하는 것으로 나타났습니다. 제 말은, 최상위가 아닌 특정 호출 스택 프레임에 속한 컨텍스트를 복원 할 수 있다면? 당신은 64 대상을 디버깅하는 경우windbg의 특정 호출 스택 프레임에서 레지스터 값을 조사하는 방법
, 당신은 사용할 수 있습니다
.frame /r
프레임의 레지스터를 볼 수 있습니다. 이 정보는 이미지의 풀린 데이터를 기반으로하므로 매우 안정적입니다. 다음과 같이 컨텍스트를 변경할 수도 있습니다.
.frame /c
x86에서는 풀기 정보가 없으므로이 트릭이 작동하지 않습니다. .frame 여전히 당신에게 레지스터에 대해 뭔가를 보여줄 것입니다,하지만 그것은 정확하지 않을 가능성이 높습니다 (기본적으로 운에 의해서만 정확할 것입니다).
callstack의 각 프레임의 프롤로그를 분해하여 CFI (호출 프레임 정보)를 얻는 일종의 findthis.py를 사용해보십시오.
http://nick.luckygarden.org/find-this-ptr-within-a-callstack-in-a-dump-file/
알아보기 나는 레지스터를 간접적으로 만 찾을 수있다. –