[调试器实现]第一章 调试器框架流程、用户输入处理及三种断点介绍

最新推荐文章于 2022-09-22 09:01:24 发布
最新推荐文章于 2022-09-22 09:01:24 发布
阅读量162 收藏
点赞数
文章标签: 数据结构与算法 操作系统
原文链接:http://www.cnblogs.com/DreamOfGalaxy/articles/4491842.html
版权

前言:
作为一个软件逆向工程的研究者,必然会用到调试工具,如果能够掌握调试器工作的原理必然对软件调试会有更深入的了解。
 
本文根据笔者自己实现一个完整的调试器的过程,结合OD在调试功能上的实现方法,详细讲述一个调试器其主要功能的实现步骤,及实现过程中需要注意的细节,力求在原理、方法上能让阅读者有所收获。由于本人能力有限,文中必然有错漏之处,恳请读者不吝赐教。
 
第一章 调试器框架流程、用户输入处理及三种断点介绍
windows三环下的调试器是利用异常处理来实现的。其主要流程可简要概述如下:创建或附加一个调试进程,然后进入等待调试事件的循环,整个调试工作大 部分都在处理异常调试事件中完成。除了进程创建时需要在入口点设断点(以便程序断在入口点)、进程结束时进行一些必要的释放资源的操作。
创建调试进程和普通的创建进程一样都是使用CreateProcess API。只是创建调试进程时需要设置CreateProcess的第6个参数dwCreationFlags为 DEBUG_PROCESS,这些细节都可以在MSDN中查到。
 
等待调试事件的循环可以直接在MSDN中找到VC的源码,在MSDN搜索API:WaitForDebugEvent,然后看Debugging Overview,中的Using Debugging Support。即可找到VC代码如下:

 1 for(;;) 
 2 { 
 3 WaitForDebugEvent(&DebugEv, INFINITE); 
 4 switch (DebugEv.dwDebugEventCode) 
 5 { 
 6 case EXCEPTION_DEBUG_EVENT: 
 7 switch (DebugEv.u.Exception.ExceptionRecord.ExceptionCode) 
 8 { 
 9 case EXCEPTION_ACCESS_VIOLATION: 
10 case EXCEPTION_BREAKPOINT: 
11 case EXCEPTION_DATATYPE_MISALIGNMENT: 
12 case EXCEPTION_SINGLE_STEP: 
13 case DBG_CONTROL_C: 
14 } 
15 case CREATE_THREAD_DEBUG_EVENT: 
16 case CREATE_PROCESS_DEBUG_EVENT: 
17 case EXIT_THREAD_DEBUG_EVENT: 
18 case EXIT_PROCESS_DEBUG_EVENT: 
19 case LOAD_DLL_DEBUG_EVENT: 
20 case UNLOAD_DLL_DEBUG_EVENT: 
21 case OUTPUT_DEBUG_STRING_EVENT: 
22 } 
23 ContinueDebugEvent(DebugEv.dwProcessId, 
24 DebugEv.dwThreadId, dwContinueStatus); 
25 }

为节省篇幅,我将代码中的注释已经删除,详细的注释说明请参阅MSDN。
 
通过这个循环我们可以看到WaitForDebugEvent这个API可以获得的调试事件类型包括了“异常事件”,“创建线程事件”,“创建进程事件”,“退出线程事件”,“退出进程事件”,“加载DLL事件”,“卸载DLL事件”,“调试输出字符串事件”。
在创建调试进程成功之后,会捕获“创建进程事件”,在创建进程事件中我们可以获得程序的入口地址(OEP),我们可以在OEP处设置一个一次性的软件断点(INT3),使得我们的被调试程序有机会断在OEP处等待用户输入。
 
用户的输入包括查看反汇编代码,查看数据,查看寄存器内容,下各种断点,单步步入,单步步过,运行(到某地址)等各种命令。断点一般包括软件断点(INT3断点),硬件断点和内存断点。
 
用户输入的命令可分为两种类型:
1. 控制程序流程的命令。如单步步入(T)、步过(P),运行(G)等;
2. 断点相关操作,如设置(bp)、查看(bl)、取消(bc)各种断点;查看反汇编代码(U)、数据(D)、寄存器(R)等。
可以设计一个等待用户输入的函数,当用户输入的是T、P、G时,函数返回值为TRUE,表示程序需要往下运行(单步或运行)。为其他输入时,函数返回值为FALSE,表示其他的操作或错误操作。
 
三种断点分别对应的异常类型及处理:
 
1. 软件断点(INT3):对应的异常是 EXCEPTION_BREAKPOINT,处理方式为恢复代码为原来字节,并将EIP减一,并设置单步以便进入单步后重新设置这个一般断点。
 
2. 硬件断点:对应的异常是 EXCEPTION_SINGLE_STEP,处理方式要看是否为硬件执行断点,如果是硬件执行断点,则先取消断点,设置单步,进入单步后重新设置这个硬件执行断点。
 
3.内存断点:将要设置内存断点的分页属性设置为 PAGE_NOACCESS,则会产生EXCEPTION_ACCESS_VIOLATION 异常。进入异常后先取消断点,设置单步,进入单步后再重新设置这个内存断点。
 
第一章先介绍到这里,下一章将介绍软件断点(INT3断点)。查看反汇编代码,查看数据和查看寄存器值比较简单我就不多说了,如果想要了解也可以从我以后发的源码中阅读到。

 

本系列文章参考书目、资料如下:
1.《加密与解密3》 编着:段钢
2.《调试寄存器(DRx)理论与实践》 作者:Hume/冷雨飘心
3.《数据结构》 作者:严蔚敏 

 

附件为《调试器使用手册》和 调试器可执行文件。

编译环境:VC++6.0
操作系统:windows xp sp2

调试器使用手册

SunDbg.rar

 

转载于:https://www.cnblogs.com/DreamOfGalaxy/articles/4491842.html

dog0230
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
汇编级别反调试(1)
青月的成长记录吖
03-24 210
对于一些调试器可能会崩溃,当EIP用作异常处理地址之后,INT 2D指令后的代码将会被跳过,可能跳入到一些非法指令处。在异常处理程序中,我们设置一个寄存器,该寄存器充当指令计数器(在本例中为EAX)和指令指针EIP的角色,以将控制权传递给序列中的下一条指令。在没有调试器的情况下,在到达INT3指令后,将生成异常EXCEPTION_BREAKPOINT (0x80000003),并将调用异常处理程序。在下面的例子中,如果在od调试器,当步入到 0xF3 时,我们会直接跳到 try 的末尾。
逆向学习笔记(4)——动态反调试技术
谈成(C/C++)
04-12 783
1.SEH异常处理 windows中存在许多的异常处理类型,如下: EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) 断点异常 EXCEPTION_SINGLE_STEP (0x80000004) 单步执行 EXCEPTION_ACCESS_VIOLATION (0x8000000
Windows软件调试学习笔记(七)—— 单步步入&单步步过
qq_41988448的博客
08-11 1844
软件调试学习笔记(七)—— 单步步入&单步步过单步步入设置单步异常处理单步异常实验1:单步异常的设置与处理单步步过实现思路实验2:实现单步步过 单步步入 描述: 单步步入的实现依赖于单步异常。 当我们需要观察每一行代码(包括函数内部的代码)执行之后寄存器与内存的变化,通常会采用单步步入。 当使用单步步入时,可采用在下一行代码的首字节设置INT 3断点的方式实现。 CPU为我们提供了一种更为方便的方法,即使用陷阱标志位(TF位)。 设置单步异常 TF位:置1 处理单步异常 单步产生的异常与硬件断
调试学习
把梦想放飞在蓝色的天空里...
05-11 1319
1. INT 2D INT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因
调试时使用的 7 种断点
VI___
05-05 851
1、int3 断点,机器码为 0xCC ,因此又叫做 CC 断点 —— n 个 实现方法是比如:将某一行汇编进行了 F2 下断,那么这一行汇编对应的机器码的第一个字节将被改写为 CC ,尽管调试器不会显示,但是实际上已经进行了更改,调试器在执行到这里检测到了 0xCC 之后就会断下。 2、硬件断点,通过 DRx 调试寄存器实现 —— 4 个 DRx 调试寄存器有 8 个:DR0 ~ D...
《Google Android开发入门与实战》.pdf
02-17
13.3 项目实现流程 223 13.3.1 创建项目工程 223 13.3.2 项目各功能及界面实现 224 13.3.3 实现数据存取 247 13.3.4 实现service 252 13.3.5 应用流程整体实现 254 13.3.6 后续开发完善 255 ...
SEH异常处理机制
谈成(C/C++)
04-12 1729
1.SEH是windows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
调试器工作流程
人饭子的博客
05-03 372
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2055
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
C语言实现基于单步调试器
毕业作品网站
09-22 494
主进程通过创建远程进程来进行调试设置 eFlag 寄存器中的 tf 标志位,使程序执行一条指令后,产生单步执行异常。在异常处理过程中,记录程序执行时所有数据(每一步的 EIP、八个寄存器的值等)。
6.硬件断点
My classmates
11-04 2975
调试寄存器 DR0~DR3:调试地址寄存器,用于设置硬件断点 DR4~DR5:保留,未公开具体作用 DR6:调试寄存器组状态寄存器 DR7:调试寄存器组控制寄存器 硬件断点的原理是使用DR0~DR3设置地址,使用DR7设置状态,因此最多设置4个。 <1> L0/G0 ~ L3/G3: L0/G0对应DR0,L1/G1对应DR1,以此类推…,用于控制Dr0~Dr3是否有效,Lx是局...
EXCEPTION_RECORD structure
当蝴蝶在南半球拍了两下翅膀,它就会稍微飞高一些。
01-25 6253
Describes an exception.描述异常的结构体 Syntax C++ typedef struct _EXCEPTION_RECORD { DWORD                    ExceptionCode; DWORD                    ExceptionFlags; struct _EXCEPT
如何定位Release程序崩溃原因
痞子龙3D编程
08-11 2563
1       案例描述 作为Windows程序员,平时最担心见到的事情可能就是程序发生了崩溃(异常),这时Windows会提示该程序执行了非法操作,即将关闭。请与您的供应商联系。呵呵,这句微软的“名言”,恐怕是程序员最怕见也最常见的东西了。 在一个大型软件的测试过程中,初期出现程序崩溃似乎成了不可避免的事。其实测试中出现程序崩溃并不可怕,反而是测试的成功。作为开发的我们更需要关心的是程序
OD调试 内嵌补丁(一般调试加壳)
re1wn
11-11 455
内嵌补丁的核心是 在没有代码处(程序只是为了填满内存)写上代码(一般是赋值)利用程序跳出再跳回去实现 优势:解决在程序上直接写代码后面代码被覆盖的情况 OD调试技巧 1.判断跳转 不等于 跳转 等于 不跳转 2.有时间限制 在killTimer ...
[Win32]一个调试器实现(三)异常
lixiangminghate的专栏
09-23 2700
这回接着处理上一篇文章留下的问题:如何处理EXCEPTION_DEBUG_EVENT这类调试事件。这类调试事件是调试器与被调试进程进行交互的最主要手段,在后面的文章中你会看到调试器如何使用它完成断点、单步执行等操作。所以,关于这类调试事件的处理很自由,调试器的作者可以根据需要进行不同的处理。但是,在对其进行处理之前必须要了解一些关于异常的知识,这也是本文的重点。(本文的内容参考了《软件调试》一书)
<逆向工程核心原理> 动态反调试技术总结
zhangmiaoping23的专栏
03-24 3894
1.异常-SEH #include "stdio.h" #include "windows.h" #include "tchar.h" void AD_BreakPoint() { printf("SEH : BreakPoint\n"); __asm { // install SEH push handler push DWO
【Windows 逆向】OD 调试器工具 ( CE 中获取子弹动态地址前置操作 | OD调试指定地址的数据 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-16 4140
一、CE 中获取子弹动态地址前置操作、 二、OD调试子弹数据、
Green Hills 的TimeMachine功能支持第三方的调试器吗?
最新发布
07-15
Green Hills的TimeMachine是一种软件调试工具,用于嵌入式系统的调试和回溯。TimeMachine并不直接支持第三方调试器,因为它是Green Hills自家开发的调试解决方案。 TimeMachine与Green Hills公司的MULTI调试器紧密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值