-
-
[求助] windbg call stack如何手工分析
-
发表于:
2010-1-26 07:26
7134
-
[求助] windbg call stack如何手工分析
# ChildEBP RetAddr
00 b2b8cd34 8053e638 nt!NtDeviceIoControlFile
01 b2b8cd34 7c92e4f4 nt!KiFastCallEntry+0xf8
02 0012f324 7c92d26c ntdll!KiFastSystemCallRet
03 0012f328 719c5900 ntdll!NtDeviceIoControlFile+0xc
WARNING: Frame IP not in any known module. Following frames may be wrong.
04 0012f3b4 71a24c95 0x719c5900
05 0012f3fc 100942f5 0x71a24c95
06 0012f400 00000000 0x100942f5
这个上面试我用windbg在nt!NtDeviceIoControlFile函数上下的断点,断下来之后的
call stack 中的内容
请问:
windbg是如何得到 RetAddr 8053e638 7c92e4f4 7c92d26c 这些内容的还有 ChildEBP又是怎么得到的
这里ring0 ring3的都有,特别是windbg如何去得到ring3下的这些东西的呢
假设我现在断在这里了,如果我不看call stack窗口中的这些内容,我手工的话,
我需要怎么才能得到ring0和ring3下的这些内容,我要怎么去分析这个栈帧?
哪位大侠能解释下吗,即使提供一点提示,或者告诉我去看什么书或资料也好,小弟都万分感谢。
我QQ:422736088(这里回帖或者发QQ信息都行,谢谢)。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
