Estoy investigando un archivo de volcado de Windows en WinDBG. Puedo cambiar el marco de la pila de llamadas por el comando .frame, pero descubrí que los registros siempre contienen el último contexto. Es decir, si es posible restaurar el contexto que pertenece a un marco de pila de llamadas específico que no es el superior?Cómo detectar el valor de registros en un marco de pila de llamadas específico en windbg
Si está depurando un objetivo x64, puede utilizar:
.frame /r
Para ver los registros en el marco. Esta información se basa en los datos de desenrollado en la imagen, por lo que es bastante confiable. También puede cambiar el contexto con:
.frame /c
Por x86, no hay información de desenrollado por lo que este truco no funciona. .frame todavía le mostrará algo para los registros, pero no es probable que sea correcto (básicamente, solo será correcto por suerte).
intente findthis.py, que es una especie de obtención de CFI (Call Frame Info) desensamblando el prólogo de cada fotograma en la pila de llamadas.
http://nick.luckygarden.org/find-this-ptr-within-a-callstack-in-a-dump-file/
Got it. Solo puedo encontrar los registros en la pila indirectamente. –