从Microsoft C读取RSP寄存器

发布时间：2020-12-14 04:36:30 所属栏目：Windows 来源：网络整理

导读：由于在编译x64体系结构时,Microsoft C中没有内联汇编程序,因此我无法弄清楚如何访问RSP寄存器(堆栈指针).我知道我可以使用RtlCaptureContext读取它,但这也会执行许多不需要的操作.它也会慢几千倍(为了我的目的,不能接受).如果我写一个单独的ASM函数,RSP显然

由于在编译x64体系结构时,Microsoft C中没有内联汇编程序,因此我无法弄清楚如何访问RSP寄存器(堆栈指针).我知道我可以使用RtlCaptureContext读取它,但这也会执行许多不需要的操作.它也会慢几千倍(为了我的目的,不能接受).如果我写一个单独的ASM函数,RSP显然会改变,所以这也不是一个替代方案.

那么如何使用Microsoft C读取x64 RSP寄存器的内容呢？

您可以使用_AddressOfReturnAddress()(参见 MSDN reference)内在函数间接获取它.
显然,您无法确定当前堆栈帧停止的位置,但您可以使用您拥有的任何堆栈变量并通过查看生成的程序集来猜测它.

结合Olipro的建议：在独立函数中使用_AddressOfReturnAddress(),获得堆栈地址变得非常容易.更不用说用C语言编写的函数很可能只包含对此内在函数的调用.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!