为什么对TerminateProcess断点不起作用

最新推荐文章于 2022-09-16 18:16:42 发布
最新推荐文章于 2022-09-16 18:16:42 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 开发与调试 文章标签: c up function 虚拟机 测试 xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Viper/article/details/6201680
版权
本文通过windbg调试notepad程序,探讨了为何在用户态设置的TerminateProcess断点未生效。文章揭示了进程正常退出通常使用ExitProcess,而TerminateProcess用于强制终止,且在某些情况下可能导致DLL状态破坏。作者发现,虽然ExitProcess的调用栈中出现TerminateProcess,但实际上是两个函数的代码共享导致的误解。通过调试,确认了程序退出并未调用TerminateProcess,而是遵循了MSDN的描述,进一步证实了ExitProcess的正确使用。
摘要由CSDN通过智能技术生成

最初发表在QQ空间,全文见 为什么对TerminateProcess断点不起作用

在内核态下巧设用户模块断点介绍了在内核态下设置用户模块的断点,结尾处留了一个问号,为了简化问题,这次直接在用户态下调试。使用windbg 打开一个notepad程序。设置断点。

0:000> bl
 0 e 77e616b8     0001 (0001)  0:**** kernel32!TerminateProcess
0:000> g

关闭notepad,正如在内核态下巧设用户模块断点描述的,期望的断点没有起到作用,windbg显示如下信息。
eax=00000000 ebx=00000000 ecx=ffffffff edx=00000000 esi=77f7663e edi=00000000
eip=7ffe0304 esp=0006fdf8 ebp=0006fef0 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000202
SharedUserData!SystemCallStub+0x4:
7ffe0304 c3               ret

正常的解释会是这样,TerminateProcess不会使用在进程的正常退出过程中。看看MSDN的解释。

The TerminateProcess function is used to unconditionally cause a process to exit. The state of global data maintained by dynamic-link libraries (DLLs) may be compromised if TerminateProcess is used rather than ExitProcess.

TerminateProcess initiates termination and returns immediately. This stops execution of all threads within the process and requests cancellation of all pending I/O. The terminated process cannot exit until all pending I/O has been completed or canceled.

A process cannot prevent itself from being terminated.

也就是说进程的正常退出一般使用ExitProcess。如果我没有做下面的动作的话,这个解释应该足够了。可惜人生总是充满意外,
0:000> kv
ChildEBP RetAddr  Args to Child             
0006fdf4 77f7664a 77e798ec ffffffff 00000000 SharedUserData!SystemCallStub+0x4 (FPO: [0,0,0])
0006fdf8 77e798ec ffffffff 00000000 77e7ad86 ntdll!NtTerminateProcess+0xc (FPO: [2,0,0])
0006fef0 77e7990f 00000000 77e8f3b0 ffffffff kernel32!_ExitProcess+0x57 (FPO: [Non-Fpo])
0006ff04 77c379c8 00000000 77c37ad9 00000000 kernel32!Termina

最低0.47元/天 解锁文章
招RD和QA
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg调试和断点学习总结2
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点 在windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
在内核态下巧设用户模块断点
Viper的专栏
02-21 1740
<br />假如我们调试内核时,需要在kernel32中设断点。一般情况下,使用调试器中断到内核中时,当时进程和线程都是Idle,<br />kd> !process<br />PROCESS 8054a900  SessionId: none  Cid: 0000    Peb: 00000000  ParentCid: 0000<br />    DirBase: 00039000  ObjectTable: e1000d68  HandleCount: 128.<br />    Image: Idl
调用TerminateProcess是无法触发DLL_PROCESS_DETACH的
weixin_34311757的博客
01-13 288
当应用程序中调用TerminateProcess函数,对于在DllMain函数中处理DLL_PROCESS_DETACH的额外代码操作是无法被执行的。比如:释放资源、数据持久化等。
TerminateProcess终止进程失败
machh的专栏
04-02 8614
今天写了个自动升级程序,   该程序从服务器下载客户端最新版本, 然后通过查找客户端进程的方式, 使用TerminateProcess终止进程, 代码如下: void KillProcess( CString strProName ) { PROCESSENTRY32 pe32; pe32.dwSize = sizeof(pe32); HANDLE hPro
TerminateProcess
李金彦
01-05 1856
想在当前进程中终止另一个进程,可以使用这个TerminateProcess函数。 This function terminates the specified process and all of its threads. BOOL TerminateProcess( HANDLE hProcess, DWORD uExitCode); Parameters hProcess[in]
VS工程编译提示找不到“外部符号 __imp__xxx”的问题解决办法
u013705518的博客
09-16 1157
error LNK2001: 无法解析的外部符号 __imp__strdup
TerminateProcess 杀进程
qq_32250025的博客
09-11 3094
今天又掉坑里了。用“TerminateProcess”杀某个控制台进程,结果进程杀死了,应用程序还停留在状态栏,任务管理器中的“进程”已找不到被杀死的进程,“应用程序”里还能看到。最后发现是“system("pause");”惹的祸,这个玩意起了一个系统进程。以后慎用。   bool KillProgress(const DWORD&amp; _dwId) { HANDLE hProc...
OD 快捷键使用大全。非常详细( 游戏逆向分析必看 )+ OD 断点 使用大全
墨鱼菜鸡
07-11 8929
From:https://www.cnblogs.com/YiShen/p/9742872.html OllyDBG快捷键 OllyDbg 窗口通用快捷键 快捷键    功能      Ctrl + F2重启程序,即重新启动被调试程序(重新载入程序 )。如果当前没有调试的程序,OllyDbg会运行历史列表[historylist]中的第一个程序...
vc++开发的源代码,系统进程管理器的开发,非常好的学习参考,对程序员很有帮助.
06-09
系统进程管理器是操作系统中不可或缺的一部分,它能够帮助用户查看、控制和管理运行在系统中的各个进程。通过这个管理器,我们可以了解进程的详细信息,如进程ID、内存占用、CPU使用率等,甚至可以终止或创建进程。...
常用的Win32函数清单
weixin_30918415的博客
04-28 217
1、限制程序功能函数EnableMenuItem 允许、禁止或变灰指定的菜单条目EnableWindow允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)2、对话框函数CreateDialog 从资源模板建立一非模态对话窗CreateDialogParam 从资源模板建立一非模态对话窗CreateDialogIndirect 从内存模板建立一非模态对话窗CreateDialogI...
TerminateProcess 终止|杀死其它进程
wuqiyinglang的专栏
10-09 3372
这个函数可以用来终止或者说杀死一个进程,它不会留给进程及其所有线程清理的时间,系统会马上终止(杀死)这个进程的所有线程,致使进程终止。在使用此函数前我们必须要调用OpenProcess函数来获得我们要终止(杀死)进程的句柄,并且要获得进程的PROCESS_TERMINATE权限。 函数原型: BOOL TerminateProcess(HANDLE hProcess,UINT uExi
还原NtTerminateProcess
埋vizee的墓
12-04 3319
在上课吃饱了没事干的情况下,花了点功夫还原了我电脑上的NtTerminateProcess的代码 我的系统是Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible(来自windbg) nt!NtTerminateProcess: mov edi,edi push ebp mo
terminateprocess第二个参数为啥为-1
最新发布
05-23
如果该参数为 -1,则表示终止进程的方式是强制终止,而不是正常的退出。 正常的退出是指进程按照程序员定义的方式自行退出,并返回一个退出代码。而强制终止是指操作系统通过发送一个信号给进程,迫使进程立即停止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值