.Net Windbg 与汇编基础(学习笔记)

电脑版发表于：2022/9/19 13:59

![](https://img.tnblog.net/arcimg/hb/0f6f3d2d518b43969c64320d9e4d69d6.png)
># .Net Windbg 与汇编基础(学习笔记)
[TOC]

## 为什么要学习汇编？

tn2>有时候再Debug下可以运行的逻辑，但在Release下却无法实现。
举例：主线程创建一个工作线程，在500ms后准备终止工作线程，在Release模式下无法终止。。。（代码如下）

```csharp
internal class Program
{
    static void Main(string[] args)
    {
        var worker = new Worker();

        Console.WriteLine("Main thread: Start the work thread...");

        var workerTask = Task.Run(worker.DoWork);

        // 等待 500 毫秒以确保工作线程已在执行
        Thread.Sleep(500);

        Console.WriteLine("Main thread: request to terminate the work thread...");
        worker.RequestStop();

        workerTask.Wait();

        Console.WriteLine("Main thread: The work thread is terminated");
        Console.ReadLine();
    }
}

public class Worker
{
    private bool _shouldStop;

    public void DoWork()
    {
        bool work = false;

        while (!_shouldStop)
        {
            work = !work; // do sth.
        }

        Console.WriteLine("Work threads: being terminated...");
    }

    public void RequestStop()
    {
        _shouldStop = true;
    }
}
```

tn2>接下来我们通过Debug运行，通过改变_shouldStop变量的值，发现该线程正常的在500ms后退出。

![](https://img.tnblog.net/arcimg/hb/c355978486a54b6c85b2cec3e592392f.png)

tn2>然后我们通过Release运行，并进行发布却没有达到预期的效果。

![](https://img.tnblog.net/arcimg/hb/09bccedf781040b898f6df157c004cb3.png)

tn2>随后我们通过windbg附加进程的方式进行调试。

![](https://img.tnblog.net/arcimg/hb/52958be1871344988dd14c872a3307fc.png)

tn2>首先我们来看一下所有线程栈。

```bash
~*e !clrstack
```

![](https://img.tnblog.net/arcimg/hb/455c3b1c56df441c8aad5924d013860a.png)

tn2>我们可以看到指向了Program类中的DoWork方法第41行，我们可以点一下，也可以执行一下下面的命令看执行哪里。

```bash
!U /d 00007ff933d7bdef
```

![](https://img.tnblog.net/arcimg/hb/b63e497075e34ef39231c37f139f9ae5.png)

tn2>接着我们可以下个断点。

```bash
bp 00007ff9`33d7bdf4
g
```

![](https://img.tnblog.net/arcimg/hb/f5d682bafc254c8cba00d97e8b570aac.png)

tn2>然后我们打开汇编窗口。

![](https://img.tnblog.net/arcimg/hb/d90ba7bc6fa14cb98b11835c18876099.png)

tn2>通过执行`t`命令不断的单步执行，我们发现主要执行的是如下几句汇编代码。

![](https://img.tnblog.net/arcimg/hb/fbe7b9b9631d4e09a26a4e5d8b3c7276.png)

tn2>`test`汇编命令表示判断寄存器中`ecx`与`ecx`的值。
`je`如果判断的值相等就跳转到`00007FF933D7BDEA`这个位置。
我们先来看看`ecx`的值

```bash
r ecx
```

![](https://img.tnblog.net/arcimg/hb/169165718b184aa7be8d6c79f362830d.png)

tn2>`0`永远等于`0`，所以这个问题的关键在于它把`_shouldStop`的值放到了寄存器中，无论你怎么改变值它寄存器中永远不会改变，所以解决方法就是让它不从寄存器从内存中去比较值。
我们可以看看当前内存中的`_shouldStop`值。

```bash
!name2ee Exmaple_2_1_1!Exmaple_2_1_1.Worker
# 这样找也可以 加类名
!dumpheap -type Worker
# 然后我们找到第一个地址，可以看到_shouldStop值为1
!DumpObj /d 00000251407eb1d0
```

![](https://img.tnblog.net/arcimg/hb/d4301b9ff1a44df595d6783dad701373.png)

tn2>出现了这种情况，我们应该给`_shouldStop`添加上`volatile`关键字，表示该值是一个异变的结构。

```csharp
private volatile bool _shouldStop;
```

tn2>然后我们再次运行程序，发现就可以了。

![](https://img.tnblog.net/arcimg/hb/93486c4d451b47e18c216f5321eb9bde.png)

tn2>我们再通过windbg的方式来看看。

```csharp
!name2ee Exmaple_2_1_1!Exmaple_2_1_1.Worker.DoWork
!U /d 00007ff933d6bde0
```

![](https://img.tnblog.net/arcimg/hb/936e6fc5b8f345e38fc6c5a25c6930e6.png)

tn2>在第39行中我们发现与原来的汇编代码有所出入，这里是直接通过rcx+8与0进行比较（rcx表示类的地址，+8表示偏移8位）。
直接从内存中进行比较就没问题了。

## 内存单元和CPU三大总线

>### 理解内存单元

tn2>Bit：计算机中最小的信息单元 (8bit=1Byte)， Bitmap 算法就得益于它的威力。
Byte：计算机中最小的数据存储单元，简而言之，一个地址占用一个1byte。
我们通过vs来查看数据的格式大小。

```csharp
static void Main(string[] args)
{
    Console.WriteLine("hello world!");
    Console.ReadLine();
}
```

![](https://img.tnblog.net/arcimg/hb/28688629d0204201bb855a06ed73ed0b.png)

tn2>接下来，我们也可以通过windbg来进行查看。
对应的依次是：db，dw，dd, dq。

![](https://img.tnblog.net/arcimg/hb/8cbebc7e03bc484b8ef998202e65c3d2.png)

>### CPU三大总线

tn2>地址总线： 现在的 intel i7 的CPU上，一般是 48 根地址总线，每根线可以表示 0/1 两种状态（高电平，低电平），
所以它最多能表示 248 个地址，即地址范围是： 0 ~ 0000ffff\`ffffffff。
一个地址能存放一个byte，所以最大寻址空间为：248 *  1byte = 256T

![](https://img.tnblog.net/arcimg/hb/00d65312e4644137b100855481eb83b4.png)

tn2>我们可以通过`!address -summary`命令查看地址空间，用户空间占用126T。

![](https://img.tnblog.net/arcimg/hb/d209671a61984ad8a5d9076b7cbe6f0a.png)

tn2>这里用户态的最大寻址空间为`128T`可以看到我这里Free+MappendFile的总和就是用户态最大的存储地址空间，另外还有`128T`在内核态中。
如果你想看更详细的请执行`!address`命令

![](https://img.tnblog.net/arcimg/hb/9b4f4bf1cad7496d8e30c18278d1bddc.png)

tn2>数据总线： 现在的 intel i7 的CPU上，一般是 64 根数据总线，它决定了一次性可以从内存中读取 64bit 的数据，也就是 8byte。

![](https://img.tnblog.net/arcimg/hb/925e6b0f81bf4f59b4559026435c7469.png)

tn2>比如说：一个 long 类型，在 32 位操作系统上需要走两次内存，在 64bit 上只需要一次。

<br/>

tn2>控制总线： 它决定了对计算机外部器件的控制能力，比如说对内存可以发起 “读”或 “写” 命令。

![](https://img.tnblog.net/arcimg/hb/e91361c2af304daebffde24b5679a163.png)

tn2>综上：CPU读写内存，需要经过 地址总线，数据总线，控制总线 的多次往返，那么如何规避这些不必要的开销是我们思考的问题！ 比如合理利用 CPU 内部的“CPU 缓存 & CPU 寄存器”

##常见的寄存器

tn2>1.寄存器是寄宿于 CPU 中的信息存储部件，通过内部总线实现了高效计算，比读内存速度要快几个数量级。
2.在 高级调试 中，我们需要熟练掌握这 10 个寄存器 （32bit） ，大体上分为 4 类。

![](https://img.tnblog.net/arcimg/hb/13a6fea3e9104b20aa43f5b9478aca07.png)

>### 数据寄存器

| 寄存器名称  | 描述  |
| ------------ | ------------ |
| EAX  | 累加器  |
| EBX  | 基数寄存器  |
| ECX  | 计数寄存器  |
| EDX  | 数据寄存器  |

tn2>JIT 在将 IL 代码转成 汇编代码的时候，一般会遵守一些约定成俗的规定，比如：
在数据的 `+ ，- ，*，/` 方面，优先会使用 eax 寄存器，在方法的返回值上面，在方法同样优先使用 eax 。
（举例代码如下）

```csharp
static void Main(string[] args)
{
    /* +,-，*,/ */
    var a = 10;
    var b = a + 10;
    var c = a - 20;
    var d = ++a;

    //获取方法返回值
    var age = GetAge();
}

static int GetAge()
{
    int age = 10;

    return age;
}
```

![](https://img.tnblog.net/arcimg/hb/274d9aab184c488bade54e3fada95aaa.png)

tn2>为`[ebp-3Ch]`赋值操作

```csharp
mov         dword ptr [ebp-3Ch],0Ah
```

tn2>先将eax寄存器附上`[ebp-3Ch]`（a）的值，然后做一个`add`相加`0Ah`(这里是16进制相当于10进制的10),然后再赋值给`[ebp-40h]`(b)。

```bash
mov         eax,dword ptr [ebp-3Ch]
add         eax,0Ah
mov         dword ptr [ebp-40h],eax
```

tn2>与上不同的是它这里加的负数。

```bash
mov         eax,dword ptr [ebp-3Ch]
add         eax,0FFFFFFECh
mov         dword ptr [ebp-44h],eax
```

tn2>然后我们来看方法返回值这里，返回是通过EAX寄存器来进行赋值的，我们可以通过按F10来进行调试。

```bash
call        CLRStub[MethodDescPrestub]@a859fb0804a0ac18 (04A0AC18h)
mov         dword ptr [ebp-54h],eax
mov         eax,dword ptr [ebp-54h]
mov         dword ptr [ebp-4Ch],eax
```

![](https://img.tnblog.net/arcimg/hb/ce3fbd1151064318a93d1403ac9389f1.png)

![](https://img.tnblog.net/arcimg/hb/bafeaf8ad12e4bae8c48c33dba56a142.png)

tn2>可以清晰的看到EAX发生了改变。

>### 变址寄存器

| 寄存器名称  | 描述  |
| ------------ | ------------ |
| ESI  | 源变址寄存器  |
| EDI  | 目的变址寄存器  |

tn2>常用于做字符串的赋值，比如在 C 语言的 main 序幕代码中，就有一段初始化栈空间的操作，代码的意思就是从 edi 开始，依次将 eax 中的 0CCCCCCCCh 赋值 ecx=0x17（转换成10进制就是23次） 次，可以看到这段区间内都是 cc 符。(代码如下)

```c
#include <iostream>

int main()
{
	int nums[20] = { 10,11,12,13 };
}
```

![](https://img.tnblog.net/arcimg/hb/0854b54d43724c47b6c4236b566a717e.png)

![](https://img.tnblog.net/arcimg/hb/36d33d159c374553910430dd98791f51.png)

![](https://img.tnblog.net/arcimg/hb/92d6e6ab897b4e0eb64c308f21dda7d2.png)

>### 栈指针寄存器

| 寄存器名称  | 描述  |
| ------------ | ------------ |
| EBP  | 基址指针寄存器  |
| ESP  | 堆栈指针寄存器  |

tn2>每一个方法都有一个属于自己的方法栈帧，这个栈帧的范围就是用 EBP 和 ESP 标识的。

![](https://img.tnblog.net/arcimg/hb/3f4df63577a64d34a3aff212e8475b89.png)

tn2>我们可以通过刚刚的例子通过汇编代码用ESP算出EBP的大小。

```bash
mov         ebp,esp
sub         esp,11Ch
push        ebx
push        esi
push        edi
```

![](https://img.tnblog.net/arcimg/hb/0186e051bdc847e2a2dc447857a9cfba.png)

tn2>当前esp为`00CFF85C`，然后加上`11C`,再加上的三个入栈的`ebx`、`esi`、`edi`每个占4字节，最后得出EBP的基栈地址`CFF984`。

![](https://img.tnblog.net/arcimg/hb/a5984bf8dac04f05a8e96be7a7725134.png)

>### 控制寄存器

| 寄存器名称  | 描述  |
| ------------ | ------------ |
| EIP  | 指令指针寄存器  |
| PSW  | 状态标志寄存器  |

tn2>EIP： 用来保存程序下一步需要执行的指令地址，跳跃的长度就是机器码的byte数。

![](https://img.tnblog.net/arcimg/hb/5e2dc1c0a02f45fc8358ece2396b29d4.png)

tn2>PSW ：用来保存运算(CMP,TEST)过程中出现的比如 ZF（零标志位), OF （溢出标志）标志位等。

## 常见语句的汇编代码

>### 赋值语句

tn2>在这里a,b,c赋值时它们的值分别为`0,0,10`，我们来看汇编就一目了然，先将b放入eax中再给a赋值eax，然后再把c放入eax中再给b赋值eax，最后给c赋值`0AH`（十进制为10）。

```csharp
internal class Program
{
    private static int a = b;
    private static int b = c;
    private static int c = 10;

    static void Main(string[] args)
    {
        Console.WriteLine($"a={a},b={b},c={c}");

        var txt = Convert.ToInt32(Console.ReadLine());

        if (txt == 2)
        {
            Console.WriteLine("txt==2");
        }
        else
        {
            Console.WriteLine("txt!=2");
        }
    }
}

```

![](https://img.tnblog.net/arcimg/hb/02d1dd487e7e4b6aba818ce57079d36a.png)

tn>mov:用来将源操作数复制到目的操作数当中，是一个数据传送指令。

>### 条件跳转语句

| 命令名称  | 格式  |描述  |
| ------------ | ------------ |------------ |
| CMP  | CMP destination,source  | 目的操作数减去源操作数的隐含减法操作，不修改任何操作数。   |
| PSW  | JE address  （Jump Equals)     | 即 ZF=1 时跳转。  |
| JMP  |  | 无条件地址跳转指令。  |
| CALL  |  | 函数调用指令。  |

![](https://img.tnblog.net/arcimg/hb/5a3a77ba7c124dee87e0c2aab0aa18df.png)

## 案例样本分析

tn2>在一个dump中发生栈溢出的情况，发现在某一个 IsMatched 方法中，汇编代码高达9w行，rsp +xxxx 高达 8w 行，导致默认的 1M 栈空间不够而溢出！
经过分析发现他用了一个超大的struct，而且还有嵌套 struct， 当一个方法的“参数”和“返回值”都是 struct 时，会在父方法和子方法的栈上分配大量的 栈空间。
观察下面代码看会产生多少struct。

```csharp
internal class Program
{
    static void Main(string[] args)
    {
        Person person1 = new Person() { A = int.MaxValue, B = int.MaxValue, C = int.MaxValue, D = int.MaxValue };
        Person person2 = person1;

        Console.WriteLine(person2.A);
    }

    static Person Test(Person person)
    {
        person.A = int.MaxValue;
        person.B = int.MaxValue;
        person.C = int.MaxValue;
        person.D = int.MaxValue;

        return person;
    }
}

public struct Person
{
    public int A;
    public int B;
    public int C;
    public int D;
}
```

tn2>通过EBP发现数据一共有六对，每4个`7fffffff`为一对，主要的结果如下：

![](https://img.tnblog.net/arcimg/hb/b948414663864f63a2d41cda0eb85db9.png)

![](https://img.tnblog.net/arcimg/hb/addeced0e7c841bb959a83a1ecb6b38a.png)

尘叶心繁

.Net Windbg 与汇编基础(学习笔记)

{{item.title}}