如下图所示,用户态调试的参与者有:调试器进程,被调试进程,调试子系统,调试API以及NTDLL和内核中的支持函数。
调试器进程:调试过程的主导者,负责发起调试对话,读取和处理调试事件,并通过用户界面接受调试人员下达的指令,然后执行。调试器通过调用调试API与系统的调试支持函数和调试子系统交互。
被调试进程:调试的目标。某些调试功能需要在被调试进程中做少量标记或执行简单的动作。
调试子系统:沟通调试进程与被调试进程的桥梁,帮助调试器完成各种调试功能,比如控制和访问被调试进程,管理和分发调试事件,接收和处理调试器的服务请求。调试器大多数时候与它进行交互。它由3部分组成:位于NTDLL中的支持函数,位于内核中的支持函数和调试子系统服务器。
NTDLL中的支持分为3类:以DbgUi开头的供调试器使用,以DbgSs开头的供调试子系统使用,以Dbg开头的用于实现调试API。
内核文件中的支持主要负责采集和传递调试事件,以及控制被调试进程。
调试子系统服务器是管理调试会话和调试事件,是调试消息的集散地,也是所有调试设施的核心。
用户态调试也是通过调试事件来驱动的。调试对话建立后,调试器进程就进入所谓的调试事件循环,等待调试事件的发生,然后处理,再等待,直到会话结束。
调试子系统的内核部分设计了一系列函数来采集调试事件,并以一个消息结构发送给调试子系统,使其保存在调试子系统的调试消息队列中。调试子系统和调试器之间是靠一个内核对象来同步的。
扫一扫
1778
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
