W dniu środa, 1 maja 2013 21:48:39 UTC+2 użytkownik Borneq napisał:
> Mam opis pod Windows (a jak będzie pod Linuksem?)
>
> http://www.codeproject.com/Articles/189711/Write-you
r-own-Debugger-to-handle-Breakpoints
>
> http://www.codeproject.com/Articles/43682/Writing-a-
basic-Windows-debugger
>
>
>
> Tam jest nietypowo, bo pułapkę ustawia proces śledzony, ale doszedłem że
>
> można użyć WriteProcessMemory. Nawet gdy nie ustawię pułapki, debugger
>
> zatrzymuje się na samym początku wykonywania programu w
>
> ntdll.DbgBreakPoint (czy zawsze tak jest)?
>
> Aby otrzymac adres początku programu muszę znać ramki stosu, jak można
>
> wylistować je?


dobre pytanie, nie wiem dokladnie,
ale prawdopodobnie (w 32bitowej wersji)
jest tak ze w ebp masz wskaznik na poczatek
tramki stosu danej funkcji, pod ktorym to adresem
jest zapisany poprzedni ebp w ten sposob przez
wyluskiwanie mozna sie cofnac, jesli main
by nadal ebp wartosc 0 to mozna sprawdzic kiedy
koniec cofania (ale nie wiem czy tak jest)

Przed kazdym z tych adresow na stosie sa adresy
powrotów dla ret - nie sa top adresy poczatku funkcji w sekcji .code tylko adresy tuz
za
call (o ile dobrze to rozumiem) ale cofajac sie
z nich 4 bajty dostaniesz prawdopodobnie
adresy poczatkow procedur kolejnych poziomów

- jest to ew przyblizony obraz ale tak to mw chyba
jest - bo tak sobie to wyobrazam, czyli nie jest to takie skomplikowane