[求助]关于dbghelp中StackWalk64用法！-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于dbghelp中StackWalk64用法！

2014-5-7 18:58 6474

[求助]关于dbghelp中StackWalk64用法！

bujin888

活跃值

4

2014-5-7 18:58

6474

function RealReadFromProcessMemory64(const AhProcess: THANDLE; const AqwBaseAddress:Int64; const AlpBuffer: Pointer; const ASize: DWORD; var ANumberOfBytesRead: DWORD):BOOL;stdcall;
var
  st  : DWORD;
begin
   Result := ReadProcessMemory(AhProcess, Pointer(AqwBaseAddress), AlpBuffer, ASize, st);
   ANumberOfBytesRead := st;
end;

function RealReadFromProcessMemory32(const AhProcess: THANDLE; const AqwBaseAddress:DWORD; const AlpBuffer: Pointer; const ASize: DWORD; var ANumberOfBytesRead: DWORD):BOOL;stdcall;
var
  st  : DWORD;
begin
   Result := ReadProcessMemory(AhProcess, Pointer(AqwBaseAddress), AlpBuffer, ASize, st);
   ANumberOfBytesRead := st;
end;


function GetStackFrame(var dwRetArray :StackframeArr):Integer;
var
 ContextRecord:TContext;
 StackFrame:TSTACKFRAME64;
begin
 ContextRecord.ContextFlags:=CONTEXT_FULL;
 if GetThreadContext(GetCurrentThread,ContextRecord) then
 begin
  SetLength(dwRetArray,0);    Result:=0;
  FillChar(StackFrame, sizeof(StackFrame), 0);
  StackFrame.AddrPC.Offset := ContextRecord.Eip;
  StackFrame.AddrStack.Offset := ContextRecord.Esp;
  StackFrame.AddrFrame.Offset := ContextRecord.Ebp;
  StackFrame.AddrPC.Mode :=AddrModeFlat;
  StackFrame.AddrStack.Mode :=AddrModeFlat;
  StackFrame.AddrFrame.Mode := AddrModeFlat;


   while StackWalk64(IMAGE_FILE_MACHINE_I386,GetCurrentProcess, GetCurrentThread,StackFrame,@ContextRecord,@RealReadFromProcessMemory64,nil,nil,nil) do
   //while StackWalk(IMAGE_FILE_MACHINE_I386,GetCurrentProcess, GetCurrentThread,StackFrame,@ContextRecord,@RealReadFromProcessMemory32,nil,nil,nil) do
   begin
     if (StackFrame.AddrReturn.Offset <> 0) then
     begin
       //FLogManager.Log('Stack frame:' + IntToHex(Cardinal(Pointer(StackFrame.AddrPC.Offset)), 8));
       SetLength(dwRetArray,High(dwRetArray)+2);
       dwRetArray[High(dwRetArray)]:=StackFrame.AddrReturn.Offset;
       Inc(Result);
     end;
   end;
 end;
end;

调用如下

procedure fun3;
var
 StackframeArr1:StackframeArr;
 count,I:Integer;
begin

 count:=GetStackFrame(StackframeArr1);
 if count>0 then
 begin
  for I := 0 to count - 1 do
  begin
    Form1.Memo1.Lines.Add(IntToHex(StackframeArr1[I],8)); //显示
  end;
 end;
end;

procedure fun2;
begin
  fun3;
end;

procedure fun1;
begin
  fun2;
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
  fun1;
end;

可惜显示失败在第一次调用StackWalk64成功后 StackFrame.AddrReturn.Offset显示为0
然后后面的StackWalk64 均失败了！求指教

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・2

点赞・0

打赏

分享

最新回复 (5)
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2014-5-7 21:00 2 楼 0 SymInitialize也调用了
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 2014-5-7 22:06 3 楼 0 MSDN: You cannot get a valid context for a running thread. Use the SuspendThread function to suspend the thread before calling GetThreadContext. ContextRecord.ContextFlags:=CONTEXT_FULL; if GetThreadContext(GetCurrentThread,ContextRecord) then 这句改成 RtlCaptureContext(&ContextRecord); // Get context. 我这个是vc的调用方式,应该是这个问题, 你试试看(zh)
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2014-5-8 00:41 4 楼 0 还是不行
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2014-5-8 00:42 5 楼 0 同样的代码用VC写就可以 why why why
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2014-5-8 02:19 6 楼 0 解决了 delphi编译开启 {$Z4}开关
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

bujin888

发帖

回帖

RANK

关注

他的文章

[求助]int 2E 和 sysenter在 win7 x64 的 32位程序内能正常执行吗？

[求助]关于dbghelp中StackWalk64用法！

[讨论]现在中国社会的黑客精神

[注意]Win8中另类链表检测 DLL

[delphi版]ring3层SetThreadContext方式插入DLL

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区