64位进程的kb表示什么？

在WinDbg中显示的"Args to Child"输出，以kb和kv为单位，一直非常可疑，即使在x86上，这些列也不一定显示函数的参数。

在x86上，"Args to Child"仅是[EBP+0x08]、[EBP+0x0C]和[EBP+0x10]（kv显示四个参数，因此最后一列是[EBP+0x14]）。只有当以下条件满足时，它们才是函数的参数：

1. 函数使用EBP框架
2. 函数使用堆栈传递参数（取决于调用约定）
3. 优化器没有重复使用这些位置进行其他操作

在x64上，如您所指出的，前四个参数通过寄存器传递。然而，在调用约定的一部分中，调用方必须为每个参数在堆栈上分配“Home”（或“Spill”）空间。即使被调用的函数少于四个参数，也始终会分配这个空间。然后，被调用的函数可以自由地使用此Home Space，它可以：

1. 忽略它
2. 在其中保存非易失性寄存器
3. 将传递的寄存器参数"Home"到堆栈上

kb和kv输出按顺序显示Home Space（RCX Home、RDX Home、R8 Home、R9 Home）。最常见的情况是使用1或2，因此它实际上与传入的参数没有任何关系。然而，在Debug版本中，编译器会立即将传入的参数放到Home Space中，以使调试更容易。

例如，下面是一个有两个参数的函数的前奏曲，编译为Debug。注意，第一条指令是将参数归位：

0:000> u DriverEntry
mov     qword ptr [rsp+10h],rdx
mov     qword ptr [rsp+8],rcx
push    rdi
sub     rsp,0C0h

同样的代码编译为“Release”模式时，使用主页空间进行非易失性寄存器保存：

0:000> u DriverEntry
mov     qword ptr [rsp+8],rbx
mov     qword ptr [rsp+10h],rdi
push    rbp
lea     rbp,[rsp-57h]
sub     rsp,0B0h

这意味着Home Space通常在获取函数参数方面是无用的。但是，它仍然可以用作调试辅助工具，以在函数进入时重建非易失性寄存器值（例如，通过查看Home Space，我可以告诉您RBX或RDI的值）。

kb列出了堆栈回溯及其三个参数，但是参数传递机制（调用约定）使得显示的参数不可信。您必须阅读更多信息@http://www.codemachine.com/article_x64deepdive.html

dv以及所有其他变体dv /v等都可能显示垃圾值。仅在__this call的情况下，我们才可以使用rcx作为此指针，但我们必须反汇编并确保指针没有备份到其他位置，然后重新使用。除非我们有归属参数，否则反汇编是解决问题的方法。