x64 stack walking、调用约定、函数参数识别
k = <rsp> <rip> <frame_count>
x64下manual stack walking與x86不同,x86一般情況下有ebp chain,x64沒(méi)有ebp chain,類(lèi)似x86的FPO
x64下,rsp在函數(shù)執(zhí)行完prologue之后就不會(huì)變化(調(diào)用約定);
所以
0.如果函數(shù)內(nèi)執(zhí)行了call指令,call指令返回地址壓棧后,rsp就會(huì)減8;
1.也就是說(shuō),在stack reconstruction時(shí),識(shí)別到返回地址所在的棧地址,再加8,就是當(dāng)前函數(shù)執(zhí)行完prologue的rsp;
2.由于x64非葉子函數(shù)有function table entry,記錄unwind info,包括prologue操作,所以根據(jù)unwind info,可以還原進(jìn)入當(dāng)前函數(shù)時(shí)rsp的值,這個(gè)值就是指向本函數(shù)執(zhí)行完時(shí)的返回地址;
3.這時(shí)在回到步驟1,就是stack walking;
參考
http://blogs.msdn.com/b/ntdebugging/archive/2010/05/12/x64-manual-stack-reconstruction-and-stack-walking.aspx
?
調(diào)用約定
amd64規(guī)范,rdi,rsi,rdx,rcx,r8,r9,棧
ms規(guī)范,rcx,rdx,r8,r9,棧
func1(int a, int b, int c, int d, int e);
// a in RCX, b in RDX, c in R8, d in R9, e pushed on stack
注意,無(wú)論是amd還是ms,寄存器傳送的參數(shù)在棧上都有home space,callee可選擇是否把寄存器參數(shù)回寫(xiě)棧,debug下通常會(huì),release下home space會(huì)作其他用途
?
函數(shù)參數(shù)識(shí)別
由于參數(shù)用寄存器傳送,所以release下,參數(shù)查找會(huì)比較麻煩,通常做法是1.查看匯編代碼,看參數(shù)傳到那里才mov到棧;2.查看參數(shù)來(lái)源;
轉(zhuǎn)載于:https://www.cnblogs.com/hjbf/p/10414489.html
總結(jié)
以上是生活随笔為你收集整理的x64 stack walking、调用约定、函数参数识别的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 手机修改html离线网页内容,HTML5
- 下一篇: sql 数字转换为16进制数函数