4
A
回答
2
您不能像ollydbg/Immunity調試器那樣查看它。但是你可以手動從棧中檢索參數。您必須在MSDN中檢查API參考並從堆棧檢索擴充。
作爲示例,要獲取MessageBoxW()的參數,可以在MessageBoxW()中設置斷點。
0:002> g
(9e0.91c): Break instruction exception - code 80000003 (first chance)
eax=7efa9000 ebx=00000000 ecx=00000000 edx=76f6f8ea esi=00000000 edi=00000000
eip=76ee000c esp=00f3ff5c ebp=00f3ff88 iopl=0 nv up ei pl zr na pe nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000246
ntdll!DbgBreakPoint:
76ee000c cc int 3
0:005> bp user32!MessageBoxW
0:005> g
Breakpoint 0 hit
eax=00000001 ebx=00000000 ecx=002a2fc6 edx=00000000 esi=002b7f00 edi=00000003
eip=749ffd3f esp=000cf608 ebp=000cf624 iopl=0 nv up ei pl nz na po nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202
USER32!MessageBoxW:
749ffd3f 8bff mov edi,edi
現在當斷點被擊中時,您可以從堆棧中獲取它們。 MessageBoxW()接受4個參數。所以我們從堆棧中轉儲5個堆棧元素。
0:000> dd esp L5
000cf608 01001fc4 000806aa 002b7f00 002a3074
000cf618 00000040
凡0x01001fc4是返回地址,其中MessageBoxW返回。接下來的4個指針是傳遞給MessageBoxW()的參數。現在您可以相應地轉儲它們。
0:000> du 002b7f00
002b7f00 "Cannot find "foo""
0:000> du 002a3074
002a3074 "Notepad"
希望這將有助於:)
相關問題
- 1. 使用windbg傳遞給函數的參數檢查
- 2. WINDBG,如何查看數組的內容?
- 3. 查看參數
- 4. 查看POST參數
- 5. Windbg和查看AppDomain內容
- 6. 查看地址中的實際數據REGionUsageIsVAD WinDBG
- 7. 未在Django中調用查看函數
- 8. 如何查看查詢中的參數?
- 9. windbg中disassamble函數的起始地址
- 10. Log4net ADONetAppender - 查看參數值?
- 11. 意見,Pathauto,查看參數
- 12. 創建Mysql查看參數
- 13. 部分查看參數
- 14. Drupal:更改查看參數
- 15. 通參數,以查看
- 16. 傳遞參數來查看
- 17. 查看OpenSSL的參數
- 18. IQueryable參數 - 如何查看?
- 19. bash看到參數作爲函數
- 20. gdb corefile看不到函數參數
- 21. php函數看不到參數值
- 22. 函數只能看到三個參數
- 23. Javascript檢查函數參數
- 24. 函數參數檢查
- 25. 查找DLL函數參數
- 26. 查找函數的參數
- 27. Geoserver sql查看參數搞錯了postgis函數調用
- 28. 無法將參數從html傳遞到查看函數
- 29. 如何使用kcachegrind查看php函數參數
- 30. Windows進程:查看函數和更改參數的工具