assembly - 如何从Windbg中的函数获取返回值？

Question

我试图调试一些Win32API，例如Createthread，它返回一个句柄。
如何获取windbg中的返回值？

我进行了一些研究，发现返回值通常存储在EAx寄存器中。

如果我在CreateThread上设置断点，则可以进入Createthread的组装，最终我将点击ret语句，这意味着Createthread正在返回。

在这一点上，我应该检查EAX寄存器的值以获取HANDLE值还是其他方法？

Answer 1

没有另一种方法与测试eax基本不同。

如果您想要学究:

eax可以在32位上正常工作。

rax是64位应用程序所需要的

ret0是itanium所使用的

$ retreg是您可以使用的伪寄存器，在所有情况下都可以正常运行。

例如

0:028> r rax
rax = 00000000fff02000
0:028> r eax
eax = fff02000
0:028> r $ retreg
$ retreg = 00000000fff02000