Reconstructing parameters from x64 crash dumps http://analyze-v.com/?p=482   위의 포스트에서는 x64 dump 파일에서 파라미터를 찾는 방법에 대해서 설명하고 있습니다. x64에서는 첫 4개의 파라미터를 레지스터를 통해서 전달하기 때문에 Call stack 을 분석할때 그 값을 직접 계산해야 할 때가 많이 있습니다. 이 포스트에서는 크게 3가지 경우를 설명하고 있습니다. 쉬운 경우 – rcx 가 어떤 레지스터에 값을 넣은 것이 보이는 경우 중간 경우 – rcx 가...

아래 포스트에 따르면 rsp 가 return address를 가리키고 있을 때 x64의 rsp+8 에는 rcx를 저장하기 위한 공간이 있다고 합니다. rsp+10 에는 RDX를 위한 공간이 있고요 물론 항상 그 공간이 사용되는 것 같지는 않은데 다음 번 x64 Dump 분석을 할 때 확인해 봐야겠습니다.   x64 Stack Frame layout http://analyze-v.com/?p=468

아래 포스트에서는 x64의 calling convention에 대해서 설명하고 있습니다. 파라미터가 rcx, rdx, r8, r9 순서로 들어가게 되고 5번째 부터는 스택에 들어가게 됩니다. 하지만 이후 다른 함수들을 호출하면서 해당 레지스터 값들이 변경되기 때문에 x64는 정말 분석하기 힘듭니다. x64 Calling Convention http://analyze-v.com/?p=458