指定されたスタック上のすべてのArgsを子にダンプする

Question

現在のスレッドスタックのすべてのArgをChildにダンプするにはどうすればいいですか？現在のスタックのすべてのフレームについて、argsにduのようなコマンドを実行したいと思います。すべてのフレームでdu ebp+<1st 4 args>のように

Answer 1

IMHO WinDbg自体ではあまり簡単ではありませんが、このタスクを解決するにはPyKdをお勧めします。 Pythonが正しいビット数（WinDbgと同じビット数）でインストールされていることを確認してください。

0:000> .symfix 
0:000> .reload 
0:000> .load E:\...\pykd\0.3.0.27\x86\pykd.dll 

使用pykd.pydにはpykd.dllがない場合。

0:000> !py 
>>> s = getStack() 
>>> for f in s: 
...  for p in range(1,4): 
...   print("%016X" % (ptrPtr(f.sp + p*ptrSize()))) 
... 
>>> exit() 

• s現在のスレッドのスタックです。
• for f in sすべてのフレームにわたってループ。
• pは、0が返信アドレスになり、1〜4がkbで表示されるパラメータになります。
• p*ptrSize()
メモリ
• "%016X" % nから正しい
• f.spはあなた
• ptrPtr()ポインタサイズの読み出し、現在のフレームのスタックポインタを与えるbit化に対してオフセット（bit化認識）データを算出ヘクスに番号をフォーマット
• exit()インタラクティブコンソール

のあなたを取得する今、あなたはすべてのparameteを持っていることrsの場合、値を文字列としてダンプすることもできます。 PyKdのloadWStr()を試すことができます。ここでは、完全なスクリプトは次のとおりです。

from pykd import * 
s = getStack() 
for f in s: 
    for p in range(1,4): 
     paramaddr = f.sp + p*ptrSize() 
     string = loadWStr(paramaddr) 
     print(string) 

あなたがすべてのスレッドにそれを適用したい場合は、このようにそれを実行します。

0:000> ~*e !py string.py