win32调试API学习心得(三)

原创 2003年09月15日 09:25:00

要学习如何修改被调试进程,先让我们来了解几个与此有关的函数.
一.读指定进程内存:ReadProcessMemory
  此函数的定义为:function ReadProcessMemory(hProcess: THandle; const lpBaseAddress: Pointer; lpBuffer: Pointer; nSize: DWORD; var lpNumberOfBytesRead: DWORD): BOOL; stdcall;
  hProcess指向被读取内存的进程的句柄,此句柄必须有PROCESS_VM_READ权限.
  lpBaseAddress:指向被读取的内存在进程中基地址的指针.
  lpBuffer:指向用于保存读出数据的缓冲区的指针.
  nSize:指定从指定进程中要读取的字节数.
  lpNumberOfBytesRead:指向读出数据的实际字节数.

二.写指定进程内存:WriteProcessMemory
  此函数的定义为:function WriteProcessMemory(hProcess: THandle; const lpBaseAddress: Pointer; lpBuffer: Pointer; nSize: DWORD; var lpNumberOfBytesWritten: DWORD): BOOL; stdcall;
参数含义同ReadProcessMemory,其中hProcess句柄要有对进程的PROCESS_VM_WRITE和PROCESS_VM_OPERATION权限.lpBuffer为要写到指定进程的数据的指针.

  注意,如果要修改的内存所在的页面的存取保护属性为只读,如代码段,要修改页面的存取保护才能够正常修改.可使用VirtualProtectEx函数,请参考下面的代码片段:
VirtualProtectEx(hPHandle, Address, SizeOf(BYTE), PAGE_READWRITE, OldFlg);
WriteProcessMemory(hPHandle, Address, @BreakCode, SizeOf(BYTE), Read);
VirtualProtectEx(hPhandle, Address, SizeOf(BYTE), OldFlg, OldFlg); // 恢复页码保护属性
  hPHandle为目标进程句柄,Address为要修改的内存的基址,SizeOf(BYTE)表示要修改的区域长度,如果这个长度跨过一个或几个页面边界时,将修改跨过的所有页面的存取保护属性,OldFlg用来存放原来的存取保护属性,以便调用WriteProcessMemory后恢复页面保护属性.

三.得到指定线程的上下文结构:GetThreadContext
  此函数的定义为:function GetThreadContext(hThread: THandle; var lpContext: TContext): BOOL; stdcall;
  hThread:要取得上下文结构的线程的句柄,可以在发生CREATE_THEAD_DEBUG_EVENT调试事件时保存线程ID和线程句柄的关联以便调用GetThreadContext时得到线程句柄.
  lpContext:用来保存指定线程上下文件信息的结构.
  在象Windows这样的多任务操作系统中,同一时间里可能运行着几个程序.Windows分配给每个线程一个时间片,当时间片结束后,Windows将冻结当前线程并切换到下一具有最高优先级的线程.在切换之前,Windows将保存当前进程的寄存器的内容,这样当在该线程再次恢复运行时,Windows可以恢复最近一次线程运行的环境.保存的寄存器内容总称为进程上下文.上下文件的结构取决于CPU的类型.
  在调用GetThreadContext之前,要先设置TContext的ContextFlags标志来指明要检索的寄存器.例如只想得到CPU的段寄存器的值,可以设置ContextFlags标志为CONTEXT_SEGMENTS.其它可能的标志如下:
  CONTEXT_CONTROL:包含CPU的控制寄存器,比如指今指针,堆栈指针,标志和函数返回地址.
  CONTEXT_INTEGER:用于标识CPU的整数寄存器.
  CONTEXT_FLOATING_POINT:用于标识CPU的浮点寄存器.
  CONTEXT_SEGMENTS:用于标识CPU的段寄存器.
  CONTEXT_DEBUG_REGISTER:用于标识CPU的调试寄存器.
  CONTEXT_EXTENDED_REGISTERS:用于标识CPU的扩展寄存器.
  CONTEXT_FULL:相当于CONTEXT_CONTROL or CONTEXT_INTEGER or   CONTEXT_SEGMENTS,即这三个标志的组合.

四.设置指定线程的上下文结构:SetThreadContext
  此函数的定义为:function SetThreadContext(hThread: THandle; const lpContext: TContext): BOOL; stdcall;
  参数同GetThreadContext.
  有了这二个函数可以实现很多功能,比如用WriteProcessMemory在被调试进程的某个函数入口处写一个调试中断(int 3,即$cc),然后在运行到此调试中断时会产生中断,再用GetThreadContext得到当前线程的上下文,就可以根据Esp的值得到函数的参数等信息.你甚至可以修改Eip的值来让被调试程序跳到任何地址来执行,或是修改标志寄存器的值来修改进程的执行方式.

  了解了以上函数后我们就可以用来修改被调试进程了,具体能实现怎样的功能只局限于自己的想像力了,但运用不得当被调试程序通常会当得很惨。当然这几个函数不止可以用于被调试进程,用于其它进程一样适用(可用OpenProcess根据进程标识符得到进程句柄),例如用它们来做出你自己的游戏修改器等等.

下面的例子演示了如何其得线程的上下文并将CPU置为单步模式来运行程序,注意由于单步模式比较慢,运行一个大的被调试程序时可能会等很久时间.
unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;

type
  TForm1 = class(TForm)
    Button1: TButton;
    Label1: TLabel;
    procedure Button1Click(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

 {调试信息处理过程}
procedure DebugPro;
var
  si: _STARTUPINFOA;         (进程启动信息}
  pi: _PROCESS_INFORMATION;  {进程信息}
  Flage: DWORD;
  DebugD: DEBUG_EVENT;   {调试事件}
  Rc: Boolean;
  CodeCount: DWORD;       {运行的指令数}
  ThreadHandle: Thandle;  {主线程句柄}
  Context: TContext;
begin
    {建立调试进程}
  CodeCount := 0;
  ConText.ContextFlags := CONTEXT_CONTROL;
  Flage := DEBUG_PROCESS or DEBUG_ONLY_THIS_PROCESS;
  GetStartupInfo(si);  {初始化si结构,不然无法正常建立进程}
  if not CreateProcess(nil, Pchar('C:/winnt/NOTEPAD.EXE C:/Boot.ini'), nil, nil,
    False, Flage, nil, nil, si, pi) then
  begin
    MessageBox(Application.Handle, '建立被调试进程失败', '!!!', MB_OK or MB_ICONERROR);
    exit;
  end;
  while WaitForDebugEvent(DebugD, INFINITE) do
  begin    {根据事件代码进行相应处理}
    case DebugD.dwDebugEventCode of
      EXIT_PROCESS_DEBUG_EVENT:
      begin
        MessageBox(Application.Handle, '被调试进程中止', '!!!', MB_OK or MB_ICONERROR);
        Break;
      end;
      CREATE_PROCESS_DEBUG_EVENT:
      begin
        ThreadHandle := DebugD.CreateProcessInfo.hThread;
        MessageBox(Application.Handle, '被调试进程建立', '!!!', MB_OK or MB_ICONERROR);
      end;
      EXCEPTION_DEBUG_EVENT:
      begin
        if (DebugD.Exception.ExceptionRecord.ExceptionCode <> EXCEPTION_SINGLE_STEP) and
           (DebugD.Exception.ExceptionRecord.ExceptionCode <> EXCEPTION_BREAKPOINT) then
          Rc := False      {如果被调试程序产生了异常,让它自己处理}
        else
        begin
          GetThreadContext(ThreadHandle, Context);
           {将标志寄存器的陷井标志设为TRUE,这样CPU将会处于单步模式}
          Context.EFlags := Context.EFlags or $100;
          Inc(CodeCount);
          Form1.Label1.Caption := IntToStr(CodeCount);
          SetThreadContext(ThreadHandle, Context);
          Rc := True;
        end;
      end;
    end;
    if Rc then
      ContinueDebugEvent(DebugD.dwProcessId, DebugD.dwThreadId,
         DBG_CONTINUE)
    else
      ContinueDebugEvent(DebugD.dwProcessId, DebugD.dwThreadId,
         DBG_EXCEPTION_NOT_HANDLED);
  end;
  CloseHandle(pi.hProcess);
  Closehandle(pi.hThread);
end;

procedure TForm1.Button1Click(Sender: TObject);
var
  ThreadHandle, ThreadID: THandle;
begin
  ThreadHandle := CreateThread(nil, 0, @DebugPro, nil, 0, ThreadID);
end;

end.

最后附上其它的调试API.
一. procedure DebugBreak; stdcall;
  该函数在当前进程中产生断点,以便调用的线程能够向调试器发信号.
二. procedure FatalExit(ExitCode: Integer); stdcall;
  该函数把执行控制交给调试器,调试器的行为随后被指定为所用调试器的类型.
三. function FlushInstructionCache(hProcess: THandle; const lpBaseAddress: Pointer; dwSize: DWORD): BOOL; stdcall;
  该函数为指定进程刷新指令高速缓存器,此函数仅在多进程计算机上是有效的.
  hProcess:要刷新的高速缓存器的进程句柄.
  lpBaseAddress:要刷新区域的基地址指针,可以为0
  dwSize:要刷新区域的长度.
四. function isDebuggerPresent; BOOL; stdcall;
  该函数表明调用的进程是否在调试器描述表下运行,此函数从KERNEL32.DLL输出.
五. procedure OutputDebugString(lpOutputString: PChar); stdcall;
  该函数为当前的应用程序发送一个字符串到调试器中,lpOutputString为要发送的字符串.
  在DELPHI中可以通用View->Debug Windows->Event Log打开Event Log窗口查看被调试程序发送的字符串.
六. procedure SetDebugErrorLevel(dwLevel: DWORD); stdcall;
  该函数设置最小错误级别,在该错误级别中系统中将产生调试事件并把它传递给调试器.
  dwLevel:指定调试事件的最小错误调试程序,如果错误相等于或大于此程序,系统产生一个调试事件,此参数必须是下列值中的一个.
  0: 不记录任何错误. SLE_ERROR:仅记录ERROR级别的调试事件.
  SLE_MINORERROR:仅记录MINORERROR级别和ERROR级别的调试事件.
  SLE_WARNING:记录WARNING级别,MINORERROR和ERROR级别的调试事件.

win32调试API学习心得

要学习如何修改被调试进程,先让我们来了解几个与此有关的函数. 一.读指定进程内存:ReadProcessMemory   此函数的定义为:function ReadProcessMemory(hP...
  • bobopeng
  • bobopeng
  • 2014年06月16日 16:46
  • 292

Win32调试API学习心得(一)

    最近学习了一下WIN32的调试API,并做了一个简单的调试器,略有心得,特写出来希望对需要的朋友有所帮助.参考资料:lczlion:>               彭春华:>概述:   Win...
  • pankun
  • pankun
  • 2003年08月24日 15:33
  • 1603

Win32调试API学习心得(二)

上一章讲解了如何用调试API来打开一个被调试程序,并给出了一个简单的例子,这一章将祥细讲解调试消息包含的内容. 类似于消息处理中的消息结构TMessage一样,调试事件也有自己特定的事件结构,那...
  • pankun
  • pankun
  • 2003年09月03日 22:42
  • 1592

win32 调试 API 学习总结

Win32调试API原理 来自《软件技术加密内幕》和chm版本不太一样  在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 ...
  • bcbobo21cn
  • bcbobo21cn
  • 2017年04月08日 15:57
  • 304

WCF学习心得------(三)配置服务

配置服务 配置服务概述 在设计和实现服务协定后,便可以进行服务的配置。在其中可以定义和自定义如何向客户段公开服务,包括指定可以找到服务的地址,服务用于发送和接受消息的传输和消息编码,以及服务需...
  • xieyufei
  • xieyufei
  • 2014年09月03日 15:24
  • 498

win32调试api

来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用...
  • Nightsay
  • Nightsay
  • 2015年03月20日 19:32
  • 661

Win32调试API(3)

理论:如果你以前使用过调试器,那么你应对跟踪比较熟悉。当"跟踪"一个程序时,程序在每执行一条指令后将会停止,这使你有机会去检查寄存器/内存中的值。这种单步运行的官方定义为跟踪(tracing)。单步运...
  • Civet148
  • Civet148
  • 2007年05月06日 20:10
  • 1235

Win32调试API教程

本贴原(共三篇)载于如下网址:http://www.newasp.net/tech/program/21108.html他让我对调试器的工作原理有了一定的了解,因觉得写得好,特整理在一块,便于自己查阅...
  • equationdz
  • equationdz
  • 2008年06月07日 07:14
  • 401

win32 编程之调试输出

在windows下编程时,不能再使用printf了,需要使用sprintf、wsprintf,或者采用MessageBox弹出对话框来输出相应的值。 #include int CDECL Mess...
  • fansofjava
  • fansofjava
  • 2017年04月17日 15:00
  • 323

Win32调试API原理

在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行...
  • Steven6977
  • Steven6977
  • 2013年09月30日 19:15
  • 1463
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:win32调试API学习心得(三)
举报原因:
原因补充:

(最多只允许输入30个字)