由于在编译x64体系结构时,Microsoft C ++中没有内联汇编程序,因此我无法弄清楚如何访问RSP寄存器(堆栈指针)。我知道我可以使用RtlCaptureContext读取它,但这也会执行许多不需要的操作。它也会慢几千倍(为了我的目的,不能接受)。如果我写一个单独的ASM函数,RSP显然会改变,所以这也不是替代。
那么如何使用Microsoft C ++读取x64 RSP寄存器的内容?
答案 0 :(得分:5)
您可以使用_AddressOfReturnAddress()(请参阅MSDN reference)内在函数间接获取。
显然,您无法确定当前堆栈帧停止的位置,但您可以使用您拥有的任何堆栈变量并通过查看生成的程序集来猜测它。
结合Olipro的建议:在独立函数中使用_AddressOfReturnAddress(),获取堆栈地址变得非常容易。更不用说用C语言编写的函数很可能只包含对这个内在函数的调用。
答案 1 :(得分:5)
.CODE
getRSP PROC
mov rax, rsp
add rax, 8
ret
getRSP ENDP
END
然后在C方面你需要的只是extern "C" __int64 getRSP();
答案 2 :(得分:2)
您是否了解_AddressOfReturnAddress内在因素?它不是RSP寄存器本身,但它本身就有些不稳定。
答案 3 :(得分:1)
我只能想到两种方法:
1)创建一个ASM文件,其中包含将rsp移动到rax并返回的指令,然后查看是否可以让编译器内联它。
2)如果以上是禁止的,则声明一个易失性指针变量并使用__nop()内在函数给自己足够的空间来修补后期构建中的必要指令(或者,只需指定一个值即可你的易失性指针几次并替换它)
答案 4 :(得分:0)