WinDBG Visualizza gli argomenti passati a qualsiasi funzione

Question

Sto utilizzando windbg per eseguire il debug di un file eseguibile di Windows. Voglio sapere come posso vedere gli argomenti passati a qualsiasi funzione utilizzando WinDBG.

Ad esempio Se desidero conoscere i parametri passati alla funzione Kernel32! CreatefileA utilizzando Immunity Debugger o Olly debugger, imposterò un punto di interruzione nel punto di ingresso di Kernel32! CreatefileA.

Ora nell'angolo in basso a destra della finestra del debugger ho potuto vedere bene quali sono i parametri che vengono passati a Kernel32! CreatefileA dal programma. Come questa schermata.

Quindi la mia domanda è come come posso ottenere una vista simile di parametri passati con WinDBG.Is thre alcun modo ??

C'è qualche plugin che può rappresentare lo stack visivamente come olly o immunità ??

Grazie in anticipo

Answer 1

Se si dispone di simboli privati, dv vi mostreranno i locali e gli argomenti. C'è anche una finestra "Locali" che può essere aperta con Alt+3 se si preferisce utilizzare la GUI.

Se i simboli non sono disponibili, non è così facile. È possibile iniziare con kv per visualizzare argomenti non elaborati e convenzione di chiamata. Una volta che conosci la convenzione di chiamata, sai dove sono archiviati gli argomenti (stack e/o registri), e si tratta di decifrare il loro layout in memoria.