正如你可以看到上面的线程窗口,有在完全相同的位置4个的Win32线程,怎么理解呢? UPDATE
7C92E4BE mov dword ptr [esp],eax
7C92E4C1 mov dword ptr [esp+4],0
7C92E4C9 mov dword ptr [esp+8],0
7C92E4D1 mov dword ptr [esp+10h],0
7C92E4D9 push esp
7C92E4DA call 7C92E508
7C92E4DF mov eax,dword ptr [esp]
7C92E4E2 mov esp,ebp
7C92E4E4 pop ebp
7C92E4E5 ret
7C92E4E6 lea esp,[esp]
7C92E4ED lea ecx,[ecx]
7C92E4F0 mov edx,esp
7C92E4F2 sysenter
7C92E4F4 ret
调试器显示将要执行的下一个ring3处理器指令。在这种情况下,该线程调用了sysenter,它会对操作系统的内核进行ring0系统调用。这个内核系统调用正在等待将控制权返回给调用代码之前发生的事情。一旦发生了什么事情,它就会调用下一个用户模式指令,在这种情况下是ret。
如果您有4个线程都调用了等待系统调用的相同位置的相同函数,那么您将有4个线程在“线程”窗口中显示相同的地址。这是您在Windows子系统构建的应用程序中经常会看到的东西,它通常具有大量线程,这些线程由大部分时间用于等待内核事件的Windows API启动。
在猜测,他们很可能睡在像WaitForSingleObject或相似。
猜测,你有一个线程池,所以你有四个线程都执行相同的线程函数。在这种情况下,所有四个可能都处于闲置状态,等待他们需要执行的任务。如果是这样的话,所有四个都显示相同的位置是相当明智的。
您需要忽略由Microsoft代码启动的线程。我在屏幕截图中猜测mmsys或DirectX。微软的代码非常开心。
当您启用Microsoft Symbol Server时,您可以获得更好的诊断信息。你会在Call Stack窗口中获得体面的名字,通常让你猜猜他们的目的是什么。当然,你永远不会看他们的代码。
函数名称在我加载MS的符号后被暴露出来,如果我喜欢,我可以去这些函数的定义,为什么你说'我永远不会看他们的代码'? – COMer 2010-09-12 23:46:54
那么,从Redmond Vault获得源代码是特别的。我只能猜测你实际上看CRT或MFC或ATL代码。或者你自己的。 – 2010-09-12 23:59:16
位置字段是否总是指向**下一个**地址,或者只是在特殊情况下如'sysenter'? – COMer 2010-09-12 23:48:28
当你在看反汇编,然后是,总是。即使你正在谈论“调用”指令,一旦它被调用,该指令就结束了。就处理器而言,操作已经完成;它将一个值压入堆栈并更改了IP寄存器。因此,如果您正在查看调用堆栈的那部分内容,调试器将指示代码从调用返回时将执行的下一条指令。 – Gerald 2010-09-13 03:05:21
如果符号可用且位置显示函数/方法名称,如GrabberCB :: BufferCB,则表示它正在执行该函数/方法内的某些代码。 – Gerald 2010-09-13 03:10:31