学步园

当使用windbg时，最常用的命令就是'K', 栈回溯。那么是怎么实现栈回溯的呢，下面简单介绍一下。

首先要了解我们所编译出来的EXE或者DLL的调试信息都是包含在PDB文件中的，PDB文件可由编译器来产生。在栈回溯中使用的API都是来自动态库DbgHelp.dll中的，当然你可以显式或者隐式的调用这个DLL，但是这个DLL有着不同的版本，当隐式调用时需要注意。因为我在使用时出现了问题，所以我这里详细介绍一下。当我直接把DbgHelp.dll, DbgHlep.lib和DbgHelp.h直接从windbg目录拷贝到我的工程目录下时，直接编译会出现问题，原因是有些宏和变量没有被定义。当我从前辈的源码中拷贝的这些文件却可以顺利的编译过去。对比一下这些文件，发现很多的不同，是版本的原因造成的。而显式调用却不会存在这些问题，所以我建议显式调用DbgHelp.dll中的文件。

DbgHelp.dll中函数都是以Sym*开头的，为了获得这些调试信息，我们首先要为当前进程初始化符号句柄，利用函数

bool bSuccess = SymInitialize(hProcess, csPath, false)

其中第一个参数就是指当前运行进程的句柄了，第二个参数用分号分隔的几个路径，用来指定那些路径用来搜索符号文件。第三个参数用来表示符号句柄是否为所有的模块自动导入符号文件，这里一般设为false。

接下需要对导入的符号文件进行配置，能够使用的函数是DWORD SymGetOptions()和 DWORD SymSetOptions(DWORD SymOptions), 具体的option可以参考http://msdn.microsoft.com/zh-cn/library/ff558827.aspx，但我们一般包括SYMOPT_LOAD_LINES，里面要包含代码的行的信息。

接下来可以通过

BOOL WINAPI SymGetSearchPath(   __in   HANDLE hProcess,   __out  PTSTR SearchPath,   __in   DWORD SearchPathLength ); 来得到符号文件的搜索路径。在这里我也有个疑问，因为在使用函数SymInitialize（）时的第二个参数是用来设置符号文件的搜索路径的，这两个路径是否是一回事呢？从我目前所观察到的是一样的。

下面介绍一下一个重要的结构体 STACKFRAME64，它的定义如下

typedef struct _tagSTACKFRAME64 {
  ADDRESS64 AddrPC;
  ADDRESS64 AddrReturn;
  ADDRESS64 AddrFrame;
  ADDRESS64 AddrStack;
  ADDRESS64 AddrBStore;
  PVOID     FuncTableEntry;
  DWORD64   Params[4];
  BOOL      Far;
  BOOL      Virtual;
  DWORD64   Reserved[3];
  KDHELP64  KdHelp;
} STACKFRAME64, *LPSTACKFRAME64;
它代表的是一个栈桢, 能得到获得栈信息的地址。在使用时需要进行初始化，过程如下
STACKFRAME64 stack={0};



CONTEXT context;
 context.ContextFlags = CONTEXT_FULL;
 GetThreadContext(hThread, &context);

 // Must be like this
 stack.AddrPC.Offset = context.Eip; // EIP - Instruction Pointer
 stack.AddrPC.Mode = AddrModeFlat;
 stack.AddrFrame.Offset = context.Ebp; // EBP
 stack.AddrFrame.Mode = AddrModeFlat;
 stack.AddrStack.Offset = context.Esp; // ESP - Stack Pointer
 stack.AddrStack.Mode = AddrModeFlat;


初始化这个结构主要用于函数StackWalk64. StackWalk64 就是获得栈回溯的，它的定义如下

StackWalk64

BOOL WINAPI StackWalk64(

  __in      DWORD MachineType,

  __in      HANDLE hProcess,

  __in      HANDLE hThread,

  __inout   LPSTACKFRAME64 StackFrame,

  __inout   PVOID ContextRecord,

  __in_opt  PREAD_PROCESS_MEMORY_ROUTINE64 ReadMemoryRoutine,

  __in_opt  PFUNCTION_TABLE_ACCESS_ROUTINE64 FunctionTableAccessRoutine,

  __in_opt  PGET_MODULE_BASE_ROUTINE64 GetModuleBaseRoutine,

  __in_opt  PTRANSLATE_ADDRESS_ROUTINE64 TranslateAddress

);

倒数第二个和倒数第三个函数指针可以直接调用Dbghelp.dll中的函数SymGetModuleBase64与SymFunctionTableAccess64。 倒数第四个ReadMemoryRoutine ，可以自己定义一个函数，主要调用ReadProcessMemory。这个函数主要得到STACKFRAME64这个栈帧。

然后通过栈帧的成员AddrPC的offset，可由函数SymGetSymFromAddr64得到符号信息，再通过UnDecorateSymbolName（），SymGetLineFromAddr64()（）等函数得到具体的函数名，代码行等信息。

大致的栈回溯就是这个过程。