软件调试详解

最新推荐文章于 2024-03-26 18:44:19 发布
最新推荐文章于 2024-03-26 18:44:19 发布
阅读量2.1k 收藏 5
点赞数
文章标签: c++ 开发语言 windows 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/125073206
版权
本文详细介绍了Windows软件调试的各个方面,包括调试器与被调试程序的连接方式、调试事件的采集与处理、异常处理流程,特别关注了DbgkpSendApiMessage、LoadLibrary等关键函数的作用,并探讨了如何利用异常处理进行反调试。
摘要由CSDN通过智能技术生成

首发于奇安信攻防社区:https://forum.butian.net/share/1478

前言

在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系

调试对象

调试器和被调试程序

调试器与被调试程序之间建立起联系的两种方式

  • CreateProcess

  • DebugActiveProcess

与调试器建立连接

首先看一下DebugActiveProcess

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dO1KufVt-1654001282706)(image-20220331111629799.png)]

调用ntdll.dllDbgUiConnectToDbg

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DmOPjpFb-1654001282708)(image-20220331111914219.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h5mb053x-1654001282708)(image-20220331112008360.png)]

再调用ZwCreateDebugObject

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wnqUx2NV-1654001282709)(image-20220331112048790.png)]

通过调用号进入0环

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oskvknMb-1654001282710)(image-20220331112119321.png)]

进入0环创建DEBUG_OBJECT结构体

typedef struct _DEBUG_OBJECT {
     KEVENT EventsPresent;
     FAST_MUTEX Mutex;
     LIST_ENTRY EventList;
     ULONG Flags;
} DEBUG_OBJECT, *PDEBUG_OBJECT;

然后到ntoskrnl里面看一下NtCreateDebugObject

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dipx8ard-1654001282711)(image-20220331113057515.png)]

然后调用了ObInsertObject创建DebugObject结构返回句柄

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5FmWiNFR-1654001282712)(image-20220331113136955.png)]

再回到ntdll.dll,当前线程回0环创建了一个DebugObject结构,返回句柄到3环存放在了TEB的0xF24偏移处

也就是说,遍历TEB的0xF24偏移的地方,如果有值则一定是调试器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jBNd1EeK-1654001282712)(image-20220331113252356.png)]

与被调试程序建立连接

还是回到kernel32.dllDebugActiveProcess,获取句柄之后调用了DbgUiDebugActiveProcess

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1rFTq6Rv-1654001282713)(image-20220331114614705.png)]

调用ntdll.dllDbgUiDebugActiveProcess

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dp68Cz3e-1654001282714)(image-20220331114716677.png)]

跟到ntdll.dll里面的DbgUiDebugActiveProcess,传入两个参数,分别为调试器的句柄和被调试进程的句柄

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H2G8Lte3-1654001282714)(image-20220331114846279.png)]

通过调用号进0环

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OSXwVcHi-1654001282715)(image-20220331115013208.png)]

来到0环的NtDebugActiveProcess, 第一个参数为被调试对象的句柄,第二个参数为调试器的句柄

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-frQphWnq-1654001282715)(image-20220331115116879.png)]

执行ObReferenceObjectByHandle,把被调试进程的句柄放到第五个参数里面,这里eax本来存储的是调试器的EPROCESS,执行完之后eax存储的就是被调试进程的EPROCE

最低0.47元/天 解锁文章
红队蓝军
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件质量】软件调试
星拱北辰的博客
03-18 1577
本文浅析软件调试基本技巧与策略
几个主要软件调试方法及调试原则
Li__YingYing的专栏
07-31 2万+
调试(Debug)   软件调试是在进行了成功的测试之后才开始的工作,它与软件测试不同,调试的任务是进一步诊断和改正程序中潜在的错误。   调试活动由两部分组成: u  确定程序中可疑错误的确切性质和位置 u  对程序(设计,编码)进行修改,排除这个错误   调试工作是一个具有很强技巧性的工作   软件运行失效或出现问题,往往只是潜在错误的外部表现,而外部表现与内在原因之间常常
keil软件调试(Debug)仿真教程(软件调试和硬件调试的区别)及常用调试按键详解
weixin_51624736的博客
01-09 2万+
单片机的调试分为两种,一种是使用软件模拟调试,第二种是硬件调试,两种调试方式各有不同,软件模拟调试有误差,而硬件调试,借用仿真器调试是嵌入式开发中常用方法。
软件调试方法总结
m0_73291751的博客
05-10 824
调试工具:使用专业的调试工具,如Eclipse、PyCharm、Visual Studio等,这些工具可以提供更丰富的调试功能,如变量查看、堆栈跟踪、内存泄漏检测等。断点调试:在程序中设置断点,使程序运行到该点时暂停,可以查看程序在该处的状态和变量值,也可以单步执行程序来逐步检查程序运行过程。日志记录:通过在程序中设置日志记录,将程序运行过程中的关键信息记录下来,以便后续分析和查找问题。打印输出:通过在程序中插入一些print语句,输出程序的运行状态和变量的值,以便快速发现错误。
软件调试 · 工具类 · GDB调试基础操作
m0_49927539的博客
03-26 1089
GDB是GNU项目的一个调试器,它允许开发者在程序执行时或崩溃时查看程序内部发生的情况。GDB的主要功能包括启动程序、在特定条件下停止程序、检查程序停止时的状态以及在程序中更改内容以实验修复错误。
软件调试方法及调试原则
绝圣弃智-零的博客
11-16 2万+
调试(Debug)   软件调试是在进行了成功的测试之后才开始的工作,它与软件测试不同,调试的任务是进一步诊断和改正程序中潜在的错误。   注: 以问题为中心 以错误为导向   调试活动由两部分组成: u  确定程序中可疑错误的确切性质和位置 u  对程序(设计,编码)进行修改,排除这个错误   注: 测试和调试密不可分 测试是为了发现问题 调试时为了解决问题   ...
C++调试详解
10-25
"C++调试详解"这份文档深入探讨了这一主题,旨在提供全面而深刻的指导。以下是一些核心知识点: 1. **GDB调试器**:GDB(GNU调试器)是C++开发中最常用的命令行调试工具。学习如何启动、设置断点、单步执行、查看...
松下A6系列伺服调试软件
05-13
《松下A6系列伺服调试软件详解》 松下A6系列伺服调试软件是一款专为松下A6系列伺服电机设计的专业工具,旨在提供高效、精确的伺服系统配置与调试功能。这款软件不仅包含了源码层面的支持,还具有调试功能,使得用户...
CMMT-ST-...-S0步进驱动器FAS软件调试介绍
04-09
本文档涵盖了CMMT-ST步进驱动器的如何使用FAS调试软件完成CMMT-ST步进驱动器的基本功能调试:包括FAS软件的下载、安装、介绍,驱动器配置文件的上传及初次调试时参数配置,驱动器在线状态诊断,曲线采集及驱动器固件...
日立电梯CA13电脑调试软件
04-17
《日立电梯CA13电脑调试软件详解及应用》 日立电梯CA13电脑调试软件是一款专为日立电梯的控制系统设计的专业调试工具。它主要用于日立电梯的安装、维护和故障排查工作,帮助技术人员高效地进行电梯的调试与优化,...
泰和安消防主机调试软件
最新发布
06-15
《泰和安消防主机调试软件详解》 在消防安全领域,高效、准确的设备调试是确保系统正常运行的关键。本文将详细解析"泰和安消防主机调试软件"这一专业工具,帮助用户理解和掌握其核心功能与操作流程。 泰和安消防...
软件调试基础
qq_18811919的博客
07-12 1386
作为一个程序员必须对软件调试的过程有一个基本的认识。
软件调试总结及分享
blacet的专栏
05-23 8713
1、  软件调试软件开发的意义。通过软件调试,我们可以更深刻的理解语言深处的实现原理。如利用Windbg深入理解变量的存储模型:我们可以通过windbg验证查看C++书上关于各种类型变量存储区域的说明,简单来说就是全局变量和静态变量会被编译到可执行文件的数据节(分只读和可读写)中, 非静态的局部变量则分配在堆栈(stack)上,而new(malloc)出来的内存则分配在堆(heap)上。有人做过...
嵌入式软件调试(Debug)方法
u012406840的博客
11-15 3040
1)、总结了在开发中常用的问题定位方法以及分析方法 2)、结合自己经验总结了下调试建议 3)、写了一下常见的软件问题
从零做软件开发项目系列之八——系统部署调试
cooldream2009的博客
08-30 2133
软件项目的部署和调试工作是项目开发生命周期中的重要阶段,它涉及将开发完成的软件应用程序部署到目标环境并进行测试和调试,以确保系统能够正常运行并满足用户需求。
PID调试软件(C#、模拟、仿真)
热门推荐
lin381825673的专栏
09-07 2万+
突然想起要玩下PID,于是又想到强大的C#,好吧,搞个小软件玩下。 首先花点时间学习PID,用的都是网上资料,开始是先看http://www.amobbs.com/thread-5043342-1-1.html 后来发现这代码弄不懂,而且说明也不多(特别对于T),代码也比较复杂的说。 最好发现一个好文档:http://download.csdn.net/detail/lin381825673...
共有25款Windows 程序调试工具开源软件
Wanda && Aidem
03-31 1762
http://m.baidu.com/from=1012852q/bd_page_type=1/ssid=0/uid=0/pu=usm%400%2Csz%401320_1004%2Cta%40iphone_2_5.0_11_2.1/baiduid=6279330F7A62F3346EED1B1893DAEE87/w=0_10_%E7%A8%8B%E5%BA%8Fbug%E8%B0%83%E8%AF
[10]STM32程序调试方法-STLINK调试软件调试
爪爪x的博客
08-12 1万+
前言 参考资料 《STM32F1开发指南-库函数版本》3.4小节和6.4小节 《STM32中文参考手册V10》29章
CMMT-AS-…-S1伺服驱动器FAS软件调试
03-31
本文详细介绍了Festo的CMMT-AS-...-S1伺服驱动器的FAS软件调试过程,这是面向有一定自动化设备调试基础的工程技术人员的一份实用指南。首先,软件的下载和安装是关键步骤,需要确保在官方渠道获取FAS软件V2.1,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值