C++ 如何在Windows中以编程方式从调用堆栈帧读取函数参数?
我试图遍历调用堆栈帧并从中提取一些信息。我可以使用WinDBG中的C++ 如何在Windows中以编程方式从调用堆栈帧读取函数参数?,c++,windows,winapi,windbg,callstack,C++,Windows,Winapi,Windbg,Callstack,我试图遍历调用堆栈帧并从中提取一些信息。我可以使用WinDBG中的StackWalk64、SymGetSymFromAddr64和SymGetLineFromAddr64API提取文件名、行号和函数名 但是,STACKFRAME64中的DWORD64参数[4]是来自StackWalk64的返回值,它仅支持从帧中读回四个64位函数参数。更糟糕的是,在32位系统上,仅使用参数[4]的较低32位,因此超过32位的单个参数需要两个或更多元素 typedef struct _tagSTACKFRAME64
StackWalk64SymGetSymFromAddr64SymGetLineFromAddr64STACKFRAME64DWORD64参数[4]StackWalk64参数[4]typedef struct _tagSTACKFRAME64 {
ADDRESS64 AddrPC;
ADDRESS64 AddrReturn;
ADDRESS64 AddrFrame;
ADDRESS64 AddrStack;
ADDRESS64 AddrBStore;
PVOID FuncTableEntry;
DWORD64 Params[4];
BOOL Far;
BOOL Virtual;
DWORD64 Reserved[3];
KDHELP64 KdHelp;
} STACKFRAME64, *LPSTACKFRAME64;
ebprbp有什么API可以用来获取准确的值吗?如果我能得到参数的类型和名称,那就更好了。它没有API。为什么会有,现代操作系统对一些人玩这种东西不感兴趣。 如前所述,编译器可以自由地进行优化,因此您不能使用任何确定性工具进行优化。 但是,这里有启发法!如果您在调用之前或调用之后解析assembly或ret,您可以知道函数中有多少参数,您总是有返回地址,可以检查它是否在CS中
最重要的是,您应该阅读术语“堆栈展开”。您无法获得准确的值,因为编译器可以自由地优化其参数使用,使原始参数不再存储在堆栈上。(例如,在X64上,参数在寄存器中传递,并且可能永远不会被写入堆栈。)从STACKFrAM64获得的值是最好的努力。<代码> SoGeSimulfDMADRS4< /COD>给您函数本身的符号名称,它是一个被损坏的C++名称。如果通过demangler运行该函数,则可以派生参数类型,尽管仅知道类型可能不足以解释
Params