问题一箩筐

nighthuman

问题1：stack trace
           在核心态，如何对当前进程用户态栈分析，获得函数调用情况？
       不一定有ebp链，并且是在内核态，如何分析？
问题2：identity of execution image(dll or exe)
           对运行的程序或者dll，如何获得一个标示来唯一的表示它？
       这个跟程序集好像差不多，不过不需要那么多内容。

rickxbx

Post by nighthuman
问题1：stack trace
           在核心态，如何对当前进程用户态栈分析，获得函数调用情况？
       不一定有ebp链，并且是在内核态，如何分析？

结合ret，call，push，pop等指令进行分析

问题2：identity of execution image(dll or exe)
           对运行的程序或者dll，如何获得一个标示来唯一的表示它？
       这个跟程序集好像差不多，不过不需要那么多内容。

不懂

nighthuman

结合ret，call，push，pop等指令进行分析？如何分析？能不能详细说明？

另一个问题是系统调用发生时，如何获得identity of the execution image？即如何获得发生系统调用时，当前运行（发生该系统调用）的可执行程序或者共享库的标识？

rickxbx

Post by nighthuman
结合ret，call，push，pop等指令进行分析？如何分析？能不能详细说明？

一个call就是一个函数调用，一个ret就是函数结束返回呀

另一个问题是系统调用发生时，如何获得identity of the execution image？即如何获得发生系统调用时，当前运行（发生该系统调用）的可执行程序或者共享库的标识？

不知道一个可执行程序的标识是什么