Windows_Debug_调试技术.pdfVIP

Windows Debug Coredump定位技术 作者：邢利力 日期 培训内容简介： 一、预备知识 二、Windows异常处理相关 数据结构 三、VC常用调试命令 四、工具drwtsn32与windbg 及userdump 五、示例应用 2009-11-7 2 一、预备知识 进程与线程定义 线程堆栈 堆栈溢出原理及典型问题 2009-11-7 3 进程与线程定义 进程与线程 进程通常被定义为一个正在运行的程序实例，由两 部分组成： 1、一个是操作系统用来管理进程的内核对象，内核 对象是系统用来存放关于进程的统计信息的地方。 2、地址空间，它包含所用可执行模块或DLL模块的代 码和数据，还包含动态内存分配的空间。如线程堆栈和堆 的分配空间。 创建一个进程时，会自动创建它的第一个线程。 2009-11-7 4 进程与线程定义 线程是操作系统调度的基本单位，同样也是由两个 部分组成。 1、线程的内核对象，操作系统用它来对线程实施管 理，内核对象也是系统用来存放线程统计信息的地 方。 2、线程堆栈，它用来维护线程在执行代码时需要的 所有函数参数和局部变量。 进程是不活跃的，进程从来不执行任何东西，它只 是线程的容器。 2009-11-7 5 线程堆栈 堆栈：用来暂时存储当前没有被处理的数据，保存函数返回 地址、堆栈基址、函数参数及自动（局部）变量。堆栈是后进先 出的方式工作，所有操作都是栈顶进行操作，栈顶的地址比栈底 的地址小。 注意：进程没有堆栈，线程有自己的堆栈。 在进行堆栈操作，都是以4Bytes进行操作，入栈、出栈。 寄存器：ESP和EBP寄存器是堆栈专用，及EIP、EAX。 EIP：指令指针寄存器，存放下一条指令的地址。 EAX：通常用来存放函数的返回值。 ECX：通常用来存放C++对象的this指针。 EBP：堆栈基址指针，确定堆栈帧的起始位置。 ESP：堆栈指针，指向堆栈栈顶。在函数被调用前，函数参 数（实参）和函数的返回地址（当前EIP ）被压入栈顶。在函数入口 处，当前堆栈基址指针被压到堆栈中，并且当前堆栈指针ESP称为新的 堆栈基址指针EBP。局部变量的存储空间、函数使用的各种需要保存的 寄存器的存储空间在函数入口处也被预留出来。 2009-11-7 6 线程堆栈 2009-11-7 7 线程堆栈 参数（函数的参数）传递方式：大概有以下方式 1、堆栈传递，而且是最常用的。在函数调用前，将相关实参压入堆栈中。 压入顺序对应函数形参顺序的，从右到左。所以实参与形参结合顺序是从左 到右，C ＋＋中函数的形参缺省值必须从右起连续，不可间隔，也就是这个 道理。