如何提取 x64 程序那些易失的方法参数

最新推荐文章于 2025-07-17 11:06:43 发布
最新推荐文章于 2025-07-17 11:06:43 发布
阅读量44 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 笔记 文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_70960708/article/details/143465124

一:背景

1. 讲故事

最近经常遇到有朋友反馈,在 x64 环境下如何提取线程栈中的方法参数,熟悉 x64 调用协定的朋友应该知道,这种协定范围下,方法的前四个参数都是用寄存器传递的,比如rcx,rdx,r8d,r9d 四个寄存器,由于寄存器存值的临时性,它的值容易被后面的逻辑给征用了,那这种情况下还有没有办法提取出来呢? 说实话,全靠运气,为什么这么说呢? 如果这个在方法的栈初始化过程中有临时的保存在线程栈中的话,那恭喜你,可以成功给捞出来。

接下来通过一个小案例来深入的聊一下。

二:案例分析

1. 一个案例演示

为了方便讲述,这里我用 Marshal 在 ntheap 上分配堆块,然后提取 Marshal.FreeHGlobal 方法的用户句柄,参考代码如下:


        static void Main(string[] args)
        {
            //1. 分配 堆块
            IntPtr ptr = Marshal.AllocHGlobal(sizeof(int));
            Console.WriteLine("ptr= 0x{0:X2}", ptr);

            //2. 写入数据
            var num = int.MaxValue;
            Marshal.WriteInt32(pt
了解本专栏 订阅专栏 解锁全文 超级会员免费看
【实现操作系统 00】x86 与 x64 架构下函数参数传递的区别
Imagine Miracle的博客
08-09 1663
本文分析了在 x86 和 x86_64 架构下函数参数传递的区别。
Win32_Vulcano.asm
gzfqh的专栏 →底层代码研究
04-12 2620
; ??????? ??????? ??????? ; ??? ??? ??? ??? ??? ??? ; Win32.Vulcano ?????? ??????? ??????? ; by Benny/29A ??????? ??????? ??? ??? ; ??????? ??????? ??? ??? ; ; ; ;Description ;???????????? ; ; ;Hello
X64下分析调用约定的汇编代码
sanqiuai的博客
04-24 749
C代码 和X86的一样 int _cdecl cd_call(int a1, int a2, int a3, int a4, int a5) { int t_a1 = a1; int t_a2 = a2; int t_a3 = a3; int t_a4 = a4; int t_a5 = a5; return t_a1 + t_a2 + t_a3 + t_a4 + t_a5; } int _stdcall std_call(int a1, int a2, int a3, int a4,
常见函数调用约定(x86、x64、arm、arm64)
ayang1986的专栏
05-09 1095
常见函数调用约定(x86、x64、arm、arm64)
x64 汇编 参数传递
择一事终一生
01-06 4215
参数传递在不同的系统上是不一样的 windows 称作 calling convention rcx,rdx,r8,r9 用来存储整数或指针参数,按照从左到右的顺序 xmm0,1,2,3 用来存储浮点参数 其余参数会压入栈中。 linux 称作 ABI 当参数在 6 个以内,参数从左到右依次放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数大于 6 个, 大于六个的部分的依次从 “右向左” 压入栈中,和32位汇编一样。 参数个数大于 6 个的时候 H(a, b, c, d, e,
8、非易失性缓存寿命增强与神经退行性疾病分类技术
最新发布
cherry的博客
07-17 31
本文探讨了两种非易失性缓存寿命增强技术FSSRP和FSDRP,通过减少写入变化显著提升了缓存寿命,并在不同缓存配置下进行了详细的性能、能耗和存储开销分析,同时提出了一种基于人体步态动力学的可穿戴神经退行性疾病分类系统,利用嵌入式传感器和FPGA实现了对ALS、HD、PD及健康人的高准确率分类,为医疗健康领域提供了创新的技术方案。
易失性存储+RTC协同设计:构建跨睡眠周期任务状态记忆系统的秘密方法
易失性存储与RTC协同设计的核心原理 在嵌入式系统中,非易失性存储与实时时钟(RTC)的协同设计是实现断电记忆、时间感知任务管理的关键。该机制通过RTC提供精确的时间基准,结合非易失性存储介质保存跨掉电周期...
linux查看函数参数设置,linux X64函数参数传递过程研究
weixin_34493871的博客
05-05 634
基础知识函数传参存在两种方式,一种是通过栈,一种是通过寄存器。对于x64体系结构,如果函数参数不大于6个时,使用寄存器传参,对于函数参数大于6个的函数,前六个参数使用寄存器传递,后面的使用栈传递。参数传递的规律是固定的,即前6个参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9,后面的依次从 “右向左” 放入栈中。例如:H(a, b, c, d, e, f, g, h)...
MSVC平台下X64处理器函数调用规则——底层机制
ComputerInBook的专栏
04-22 1478
目录 1. 默认的调用规则 2. 内存边界对齐问题 3. 解开性(Unwindability) 4. 参数传递 5. 可变数量参数的传递 6. 非原型函数 7. 函数返回值 8. 调用函数或被调函数存储寄存器 9. 函数指针 10. 对较旧代码的浮点支持 11. 浮点状态和控制寄存器(Float Point Status and Control Register,简记为FPSCR) 12. 多媒体扩展控制和状态寄存器(Multimedia Extensions Control and
函数调用约定、参数传递规则
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
08-01 756
参数在 6 个以内,参数从左到右依次放入寄存器: rdi, rsi, rdx, rcx, r8, r9。x64函数调用,在windows和linux上参数传递的不同。当参数大于 6 个, 剩余的参数,依次从右向左压入栈中。rcx,rdx,r8,r9 按照从左到右的顺序。xmm0,1,2,3 用来存储浮点参数。其余的参数依次从右向左压入栈中。
函数栈结构与内存对齐
WarEric的博客
04-23 1744
函数栈 下图是x86-64的函数栈的结构, 函数P调用函数Q的过程,Q正在执行。 这里仅对两个地方解释,其他的很容易理解,就不细说了 其中返回地址用来实现函数的返回。当Q要返回到P时,就要调用此地址获返回位置。 参数构造区是对调用函数P传递的参数的拷贝,因为当P传递参数过多时,无法通过寄存器传递,只好在P的栈帧中保存;调用Q时,将其拷贝到参数构造区 x86-64过程只分配自己所需...
x64汇编fastcall调用约定
WolvenSec的博客
06-14 2204
x64汇编环境:只需要在x86基础上对项目属性进行设置,将平台设置为所有平台;以及在将debug改为x64模式即可:后续写完代码直接生成项目再使用本地调试器进行运行即可。
x64 可变参数原理完全解析
zhouguoqionghai的博客
12-31 1914
问题引子 stackoverflow 上有这个问题,标准里说makecontext的可变参数都必须是int类型,然后发现 makecontext 的源码里有如下一段注释说明。 /* Handle arguments. The standard says the parameters must all be int values. This is an historic accident and would be done differently today. F...
x64 调用约定,参数传递以及函数返回值
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-08 1万+
从 x86 到 x64 的两个重要修改是:64 位寻址功能和一组平面的用于常规使用的 16 个 64 位寄存器。对于展开的寄存器集,x64 仅使用 __fastcall 调用约定和基于 RISC 的异常处理模型。__fastcall 模型使用寄存器(对前四个变量)和堆栈帧传递其他参数。 调用约定 x64 应用程序二进制接口 (ABI) 是一个 4 寄存器快速调用调用约定,具有用于
linux c在子函数中获得函数返回地址, 获得当前地址x86_64
yldfree的博客
01-16 755
#include <stdio.h> #include <stdlib.h> int fun() { unsigned long ret_addr = 0; __asm__("push %%rax\n\t" "movq 8(%%rbp),%%rax\n\t" "movq %%rax,%0\n\t" ...
X64处理器架构
热门推荐
herx1的专栏
10-24 1万+
  X64处理器架构(翻译的windbg帮助文档)X64处理器架构X64架构是一个向后兼容的扩展的x86。提供了和x86相同的32位模式和一个新的64位模式。术语“x64”包括AMD 64 和Intel64,他们的指令集基本是相同的。寄存器(Registers)X64将x86的8个通用寄存器扩展为64位,并且增加8个新的64位寄存器。64位寄存器命名以“r”开始,例如:eax扩
TMS320C6748 DSP程序烧写方法详解
若要固化到Flash,则需调用专用的Flash Programmer插件或运行NAND Writer应用程序,将程序从内存写入非易失性存储器。CCS的优势在于支持断点调试、变量监控、性能分析等功能,便于开发者在烧写前验证逻辑正确性。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值