Стактрейс на AMD64

Доброго дня форумчанам. Пытаюсь получить стактрейс на х64 с помощью StackWalk64.
На х32 всё работает, на х64 получаю стек адресов, по которым ничего не лежит: https://hastebin.com/oravicuwep.cpp



И сам стактрейс слишком маленький (на х32, повторюсь, всё работает). Оптимизации отключены. Что не так?

 

Если получать стек чужого потока, то выдаёт меньше, чем нужно (адреса верные):

 

HoShiMin,

Никак вы не снимете бэктрейс на 64 в статике. Потому что это не поддерживает архитектура. Лишь при наличии дебаг символов, как делает это отладчик путём статического анализа и эвристики можно сформировать данный лог. Но это эмпирическое, вероятное решение, не удивительно что даже при не корректных адресах у вас на скрине снятие лога не прервано из за исключения. Коменты ведь есть в сурках нт, почему вы не читаете.

Исходная задача какая, зачем вам стековый дамп ?

 

Для антиинжекта: поставить хук на LdrLoadDll и смотреть, кто его вызвал, а также периодически проверять стактрейс потоков, чтобы отслеживать смену контекста через SetThreadContext

 

HoShiMin,

Была уже тема, эти костыли не решение.

 

Очень желательно всё сделать в юзермоде, применить любую эвристику, чтобы узнать об инжекте, будь то CreateRemoteThread(LoadLibrary), APC, AppInit_DLLs, оконные хуки или ручной маппинг. Визоры - слишком хардкор (плюс, защищать надо в том числе софт без исходников), а вмп от хуков апишек не защищает. Но и аудитория у защищаемого софта не настолько продвинутая, чтобы была действительная необходимость в абсолютной защите. Нужна лишь достаточная.

 

Как тогда получается у ProcessHacker'a? В исходниках тот же StackWalk64, драйвер отключен

 

Эх, обидно

 

Я постараюсь написать как-нибудь статейку про защиту в юзер моде.