我不是在谈论调用堆栈。
我想计算在ESP保持的地址处调用某个函数的次数有一定的值。在你告诉我检查返回地址之前,我对此不感兴趣 - 在这种情况下返回地址是ESP + 4,[ESP]持有一个在函数返回之前弹出的值。细节不重要。
我可以使用以下语法计算函数调用:
bp MyFunction "r @$t0 = @$t0 + 1; r @$t0; gc"
我可以通过添加
在[ESP]显示双字dd $csp L1
到上面的命令。
问题是有很多电话,我只对某些电话感兴趣,并且在每个断点烦人且费时之后手动跟踪它们。
我仍然习惯使用WinDbg的语法。如何在我的.if语句中查看条件?
我尝试了一些疯狂的事情,比如
.if( (dd $csp L1) == 2 )
但这显然是错误的。
我还想在[ESP]中的值移动到局部变量(类似于bp MyFunction + eip_after_assignment)之后在函数中的某处设置断点,但这有点太晚了。我想我可以使用它,但如果我能在开始时检查[ESP],它会使事情更简单。
答案 0 :(得分:1)
<强> 0:000&GT; lsa。
2: int dummy=0;
3: void useless(int in) {
4: dummy=in;
5: }
> 6: void main(void) {
7: for(int i=0;i<0xffffffff;i++)
8: useless(i);
9: }
<强> 0:000&GT; uf countfunc!useless
countfunc!useless [c:\countfunc.cpp @ 3]:
3 00401000 55 push ebp
3 00401001 8bec mov ebp,esp
4 00401003 8b4508 mov eax,dword ptr [ebp+8]
4 00401006 a320bb4000 mov dword ptr [countfunc!dummy (0040bb20)],eax
5 0040100b 5d pop ebp
5 0040100c c3 ret
<强> 0:000&GT; BL 的 0:000&GT; bp 0040100b“.if(poi(@ $ csp + 8)!= 1337){gc}” 的 0:000&GT; .bpcmds
bp0 0x0040100b ".if ( poi(@$csp+8) != 1337 ) {gc}";
<强> 0:000&GT;克
> eax=00001337 ebx=7ffdf000 ecx=00001337 edx=0040c340 esi=00000000
> edi=0098f6ee eip=0040100b esp=0013ff68 ebp=0013ff68 iopl=0 nv
> up ei pl nz ac po cy cs=001b ss=0023 ds=0023 es=0023 fs=003b
> gs=0000 efl=00000213 countfunc!useless+0xb: 0040100b 5d
> pop ebp
<强> 0:000&GT; ??在
int 0n4919
的 0:000&GT; DV
in = 0n4919
的 0:000&GT; ? 0n4919 / 1
评估表达式:4919 = 00001337
有点复杂的条件中断对相同的代码条件中断确实需要花费大量时间调试时间敏感的代码可以安静挑战
0:000> r $t0 = 0; bp 0040100b ".if ( poi(@$csp+8) != @$t0*1337 ) {gc} .else { .echotime ;? poi(@$csp+8) ; r$t0 = @$t0+1 ;gc }"
0:000> .bpcmds
bp0 0x0040100b ".if ( poi(@$csp+8) != @$t0*1337 ) {gc} .else { .echotime ;? poi(@$csp+8) ; r$t0 = @$t0+1 ;gc }";
0:000> .echotime
Debugger (not debuggee) time: Tue Sep 30 12:12:15.890 2014
0:000> g
Debugger (not debuggee) time: Tue Sep 30 12:12:24.062 2014
Evaluate expression: 0 = 00000000
Debugger (not debuggee) time: Tue Sep 30 12:12:32.578 2014
Evaluate expression: 4919 = 00001337
Debugger (not debuggee) time: Tue Sep 30 12:12:41.093 2014
Evaluate expression: 9838 = 0000266e
Debugger (not debuggee) time: Tue Sep 30 12:12:49.609 2014
Evaluate expression: 14757 = 000039a5
Debugger (not debuggee) time: Tue Sep 30 12:12:58.156 2014
Evaluate expression: 19676 = 00004cdc
Debugger (not debuggee) time: Tue Sep 30 12:13:06.687 2014
Evaluate expression: 24595 = 00006013
Debugger (not debuggee) time: Tue Sep 30 12:13:15.218 2014
Evaluate expression: 29514 = 0000734a
Debugger (not debuggee) time: Tue Sep 30 12:13:23.765 2014
Evaluate expression: 34433 = 00008681
Debugger (not debuggee) time: Tue Sep 30 12:13:32.828 2014
Evaluate expression: 39352 = 000099b8
Debugger (not debuggee) time: Tue Sep 30 12:13:40.906 2014
Evaluate expression: 44271 = 0000acef
这个简单的代码可能需要86天才能完成,如果继续这样,似乎需要大约8.5秒来处理windbg中的4919个函数调用