嗨，我懂你现在卡在哪了——能抓到RET指令，但就是没法把它和对应的退出函数关联起来，对吧？结合你已经有的函数地址列表（lsm），其实有两个比较靠谱的办法来解决这个问题，咱们一个个说：

1. 维护调用栈（最可靠的方案） #

这是调试器跟踪函数进出的标准做法：每次捕获到CALL指令并确认进入某个函数时，把该函数的地址压入一个调用栈；当捕获到RET指令时，弹出栈顶的函数地址，这个地址就是当前要退出的函数地址。

这个方案完美适配嵌套调用的场景（比如函数A调用B，B调用C，RET时会依次退出C、B、A），逻辑简单且准确。

结合你的代码修改示例： #

首先在跟踪循环外定义一个简单的调用栈（根据你的需求调整大小）：

#define MAX_CALL_STACK 100
unsigned long call_stack[MAX_CALL_STACK];
int stack_ptr = 0; // 栈指针，初始为0

然后修改CALL指令的处理逻辑，把进入的函数地址压栈：

else if (prim == 0xE8) { // 检测到CALL指令
    unsigned long target_func_addr = find_relative_call(child, lsm); // 假设这个函数返回被调用函数的地址
    char *func_name = get_func_name(lsm, target_func_addr); // 从lsm中获取函数名
    printf("Entering function %s at %#lx\n", func_name, target_func_addr);
    
    // 将函数地址压入调用栈
    if (stack_ptr < MAX_CALL_STACK) {
        call_stack[stack_ptr++] = target_func_addr;
    }
}

最后修改RET指令的处理逻辑，弹出栈顶并输出退出信息：

else if (prim == 0xC3) { // 检测到RET指令
    if (stack_ptr > 0) {
        unsigned long exited_func_addr = call_stack[--stack_ptr];
        char *func_name = get_func_name(lsm, exited_func_addr);
        printf("Exiting function %s at %#lx\n", func_name, exited_func_addr);
    }
    
    // 你之前获取返回地址的逻辑可以保留，用于调试
    long f_rip = ptrace(PTRACE_PEEKTEXT, child, regs.rsp, 0);
    printf("Returning to address %#lx\n", f_rip);
}

2. 通过函数地址范围匹配（备选方案） #

如果你不想维护调用栈，还有一个办法：如果你的lsm里能获取到每个函数的起始地址和结束地址（比如从ELF符号表或DWARF调试信息中提取），那么当捕获到RET指令时，当前的regs.rip是RET指令的地址，你可以遍历lsm，找到哪个函数的地址范围包含这个rip，这个函数就是要退出的函数。

不过这个方案有个局限：如果函数里有内联汇编的RET、或者编译器生成的异常处理代码，可能会导致匹配不准确；而且没法处理同一函数内多个RET的场景（不过你只需要关联到函数本身，这个影响不大）。

补充注意事项 #

• 不要只处理0xC3（普通RET），还要考虑0xC2（带立即数的RET，用于清理栈），如果你的目标程序可能用到这类指令，记得把prim == 0xC2也加入判断。
• 如果调用栈溢出（比如嵌套调用超过MAX_CALL_STACK），可以考虑动态扩容（用链表代替数组），或者根据目标程序的实际情况调整栈的大小。

内容的提问来源于stack exchange，提问作者SamuelRousseaux