GetThreadContext 返回 EBP = 0

【问题标题】:GetThreadContext returns EBP = 0GetThreadContext 返回 EBP = 0
【发布时间】:2011-11-18 00:22:02
【问题描述】:

我正在尝试在 windows7 64 位上获取另一个进程的 EBP 寄存器的值。
为此,我正在使用 GetThreadContext,如下所示:

static CONTEXT threadContext;
memset(&threadContext, 0, sizeof(CONTEXT));
threadContext.ContextFlags = CONTEXT_FULL;
bool contextOk = GetThreadContext(threadHandle, &threadContext);

EIP 值似乎没问题,但 EBP = 0。 我也尝试使用 WOW64_GetThreadContext 但它没有帮助...... GetLastError() 返回 0 所以应该没问题。 我确实使用 SuspendThread 暂停了该线程,并且每次对线程进行采样时都不会发生这种情况。

这是什么原因造成的?

【问题讨论】:

  • 您知道“您无法为正在运行的线程获取有效的上下文。在调用GetThreadContext 之前,请使用SuspendThread 函数挂起线程。”? MSDN
  • 既然你已经暂停了进程(或者至少是线程),也许你可以给它附加一个真正的调试器,看看说EBP是什么。
  • 我刚刚尝试过,但显然 VS express 无法附加到暂停或已调试的进程:/

标签: c++ windows threadcontext


【解决方案1】:

一个可能的原因是寄存器的值在您检查时确实为零。它是一个通用寄存器,因此程序可以将它设置为它想要的任何值。

【讨论】:

  • 不应该保存函数的开头吗?
  • 在 x86 上,(基本上)有两种栈帧布局:EBP 帧和 FPO 帧。在一个 EBP 帧中,EBP 指向前一个 EBP,EBP+4 指向返回地址,EBP+8 指向第一个堆栈传递的参数。在 FPO 帧中,EBP 不用作“帧指针”,而是用作通用寄存器。所以,这真的取决于目标函数。
  • 但是我从中读取线程上下文的项目没有使用“省略帧指针”优化。
  • 您不知道将冻结线程上下文的确切位置。当然不能保证执行该项目的代码。也可以是 Windows 代码。
猜你喜欢
  • 2013-08-14
  • 2012-05-01
  • 2011-06-21
  • 2015-06-15
  • 1970-01-01
  • 2013-07-04
  • 2015-06-21
  • 2016-10-28
  • 2019-02-20
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode