5

一段时间以来,我一直在使用 WinDbg 调试转储文件。
有一个很好的“技巧”适用于 x86 本机程序,您可以扫描堆栈中的CONTEXT_ALL标志(0x1003f)。

在 x64 中,CONTEXT_ALL标志显然不包含0x1003f ...

现在的问题是,有时当您将本机代码与托管代码混合使用时,发现异常的常规方法(如 .exc 或 .lastevent)。

x64中这个0x1003f的等价物是什么?有这样的常数吗?

编辑:

顺便说一句,如果您想知道,理论上它应该是10003f因为定义:

#define CONTEXT_I386    0x00010000
#define CONTEXT_AMD64   0x00100000

#define CONTEXT_CONTROL             0x00000001L // SS:SP, CS:IP, FLAGS, BP
#define CONTEXT_INTEGER             0x00000002L // AX, BX, CX, DX, SI, DI
#define CONTEXT_SEGMENTS            0x00000004L // DS, ES, FS, GS
#define CONTEXT_FLOATING_POINT      0x00000008L // 387 state
#define CONTEXT_DEBUG_REGISTERS     0x00000010L // DB 0-3,6,7
#define CONTEXT_EXTENDED_REGISTERS  0x00000020L // cpu specific extensions
#define CONTEXT_FULL (CONTEXT_CONTROL | CONTEXT_INTEGER | CONTEXT_SEGMENTS)
#define CONTEXT_ALL (CONTEXT_FULL | CONTEXT_FLOATING_POINT | CONTEXT_DEBUG_REGISTERS | CONTEXT_EXTENDED_REGISTERS)

#define CONTEXT_I386_FULL CONTEXT_I386 | CONTEXT_FULL
#define CONTEXT_I386_ALL  CONTEXT_I386 | CONTEXT_ALL
#define CONTEXT_AMD64_FULL CONTEXT_AMD64 | CONTEXT_FULL
#define CONTEXT_AMD64_ALL  CONTEXT_AMD64 | CONTEXT_ALL

但这不是...

4

1 回答 1

2

我通常使用段寄存器值作为查找上下文记录的键(ES 和 DS 具有相同的值,并且在 CONTEXT 结构中彼此相邻)。旗帜技巧也很巧妙。

在测试应用程序中强制异常,然后从堆栈中挖掘上下文记录结构,在我的例子中看起来神奇的值是 0x10001f:

0:000> dt ntdll!_context 000df1d0
...
   +0x030 ContextFlags     : 0x10001f
...
   +0x03a SegDs            : 0x2b
   +0x03c SegEs            : 0x2b
...

另请注意 ContextFlags 值不在结构的开头,因此如果您找到该值,则必须从中减去 @@c++(#FIELD_OFFSET(ntdll!_CONTEXT, ContextFlags)) 以获得上下文的基础结构体。

此外,以防万一它不明显,这个值来自恰好为 1 的样本大小。它在您的环境中可能不正确,并且它当然会发生变化(就像任何特定的实现一样,例如这样)。

于 2012-05-07T14:43:35.380 回答