Widok WinDBG Przekroczono argumenty dowolnej funkcji

Question

Używam windbg do debugowania pliku wykonywalnego Windows. Chcę wiedzieć, jak widzę argumenty przekazywane do dowolnej funkcji przy użyciu WinDBG.

Na przykład, jeśli chcę znać parametry przekazane do funkcji Kernel32! CreatefileA przy użyciu Immunity Debugger lub Olly debugger, ustawię punkt przerwania w punkcie wejścia Kernel32! CreatefileA.

Teraz w prawym dolnym rogu okna debugera mogłem zobaczyć ładnie jakie parametry są przekazywane do Kernel32! CreatefileA przez program. Jak ten zrzut ekranu.

Więc moje pytanie brzmi: w jaki sposób mogę uzyskać podobny widok parametrów przekazanych korzystających WinDBG.Is thre żaden sposób ??

Czy istnieje wtyczka, która może reprezentować stos wizualnie jak olly lub odporność?

Dzięki z gory

Answer 1

Jeśli symbole prywatnych dv pokaże mieszkańców i argumenty. Istnieje również okno "Locals", które można otworzyć za pomocą Alt+3, jeśli wolisz korzystać z GUI.

Jeśli symbole nie są dostępne, nie jest to takie proste. Możesz zacząć od kv, aby zobaczyć surowe argumenty i wywoływać konwencję. Gdy znasz już konwencję wywołującą, wiesz, gdzie przechowywane są argumenty (stos i/lub rejestry), a to jest kwestia odszyfrowania ich układu w pamięci.