利用Win32 Debug API打造自己的Debugger

最新推荐文章于 2023-07-25 16:32:28 发布
最新推荐文章于 2023-07-25 16:32:28 发布
阅读量1.6k 收藏 6
点赞数 2
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: api exception windows 数据结构 dll thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2206656
版权
 原理篇:http://blog.csdn.net/hackwaly/archive/2007/03/26/1542075.aspx 很多朋友都梦想有自己的Debugger程序,今天我们就来自己制作一个。作为一个Debugger程序,其最基本的功能框架其实就是完成2件事情: 启动目标程序。 实时监控目标程序的运行,并做出相应的应对。我们要打造自己的Debugger程序,实际上也只需要完成这两个
摘要由CSDN通过智能技术生成
 原理篇: http://blog.csdn.net/hackwaly/archive/2007/03/26/1542075.aspx 很多朋友都梦想有自己的Debugger程序,今天我们就来自己制作一个。作为一个Debugger程序,其最基本的功能框架其实就是完成2件事情:
 启动目标程序。
 实时监控目标程序的运行,并做出相应的应对。
我们要打造自己的Debugger程序,实际上也只需要完成这两个功能就可以了。当然,要完成这两个特定的功能,我们不可能从头开始造轮子,要首先看看操作系统给我们提供了什么样的基础设施:
由于我们是在Windows平台上工作,自然离不开微软公司提供的文档大全——MSDN。翻开MSDN,定位到“Debugging and Error Handling”,一些最基本的Windows Debug信息都在这里面。不过与其他栏目相比,这个栏目的信息明显显得单薄许多——也许越是底层、强大的技术,微软越不想公开吧。
初步浏览之后,我们可以确定,对于我们的Debugger而言,最重要的Debug API有如下几个:
 CreateProcess —— 用于创建被调试进程
 WaitForDebugEvent —— Debug Loop(调试循环)的主要构成函数
 ContinueDebugEvent —— 用于构成Debug Loop
 GetThreadContext —— 得到被调试进程的寄存器信息
 SetThreadContext —— 设置被调试进程的寄存器信息
 ReadProcessMemory —— 得到被调试进程的内存内容
 WriteProcessMemory —— 设置被调试进程的内存内容
最重要的数据结构有如下几个:
 CONTEXT —— 寄存器结构
 STARTUPINFO —— Start信息
 PROCESS_INFORMATION —— 进程相关信息
 DEBUG_EVENT —— Debug Event(调试事件)结构
可以说,我们的Debugger程序就是利用这几个API函数结合下面的几个数据结构,完成我们指定的功能。那么下面就让我们先来看看这几个API和数据结构的具体含义:

 

Debug API解析
在这里,我们将对上面所述的几个Debug调试API做一个检阅式的考察,大概介绍一下每个API的应用领域。而将这些API应用到具体实践中去,将会在下一部分“实例解析”中,给出详细的说明。
1.CreateProcess。
函数原型:BOOL CreateProcess(
LPCTSTR lpApplicationName, // 要创建的进程模块名
LPTSTR lpCommandLine, // 命令行字符串
LPSECURITY_ATTRIBUTES lpProcessAttributes, // 进程安全属性
LPSECURITY_ATTRIBUTES lpThreadAttributes, // 线程安全属性
BOOL bInheritHandles, // 句柄继承选项
DWORD dwCreationFlags, // 进程创建选项
LPVOID lpEnvironment, // 进程环境块数据指针
LPCTSTR lpCurrentDirectory, // 当前目录名
LPSTARTUPINFO lpStartupInfo, // 启动信息
LPPROCESS_INFORMATION lpProcessInformation // 进程信息
);
函数解析:该函数是Windows平台提供的最基本的创建进程的函数。每当我们双击一个EXE可执行文件,Windows内核就会自动调用该函数创建我们双击的文件所对应的进程。该函数中,最重要的参数有三个:一个是进程模块名,指明了要创建哪个进程;一个是进程创建选项,指明了要如何创建目标进程;对于Debugger程序而言,最常用的创建选项就是:DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS。最后还有一个就是进程信息,我们调用CreateProcess创建了进程以后,Windows会将新创建的进程的相关信息全部放到ProcessInfo信息块中,我们在Debug Loop调试循环中使用进程信息块中的数据与目标进程交互,监视和控制目标进程的动作。
2.WaitForDebugEvent。
函数原型:BOOL WaitForDebugEvent(
LPDEBUG_EVENT lpDebugEvent, // Debug Event(调试事件指针)
DWORD dwMilliseconds // 超时设置
);
函数解析:该函数构成了Debug Loop调试循环的主体,一个Debugger程序在创建出目标进程后,一般都会紧接着循环调用该函数等待目标进程的各种调试信息,这个循环调用WaitForDebugEvent的过程,我们就称之为Debug Loop调试循环。调试循环是所有Debugger程序的主
最低0.47元/天 解锁文章
iiprogram
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
最新版immunitydebugger 官网下载,保证安全
03-20
10. **调试协议支持**:它支持多种调试协议,如远程调试(如通过COM端口或网络)和本地Win32调试API。 在下载并安装Immunity Debugger 1.85时,请确保从官方渠道获取,以避免潜在的恶意篡改。安装后,用户可以参考...
[Win32]一个调试器的实现(七)断点
weixin_30509393的博客
04-02 257
断点是最基本和最重要的调试技术之一,本文讲解了如何在调试器中实现断点功能。 什么是断点 在进行调试的时候,只有被调试进程暂停执行时调试器才可以对它执行操作,例如观察内存内容等。如果被调试进程不停下来的话,调试器是什么也做不了的。要使被调试进程停下来,除了几个在特定时刻才发生的调试事件外,唯一的途径就是引发异常。 断点正是用来达到上述目的的异常,在第三篇文章的异常代码表中...
编写一个简易调试器
WLINX
05-17 2132
菜鸡的日常,复习一下调试器,简单CV点代码,调试器调试程序有两种方式,一种是创建进程,另一种便是附加: while (TRUE) { printf("1.创建新的调试进程\n"); printf("2.附加待调试的进程\n"); int input = 0; scanf_s("%d", &input); if (input == 1) { printf("请输入调试进程的路径:\n"); char Path[MAX_PATH] = { 0 }; scanf
Windows Debug常见设置
xiaopangzi313的专栏
12-30 542
Windows Debug常见设置
【Gray Hat Python】构建自己的windows调试器
qq_42363151的博客
07-25 260
python调试器
WinDbg蓝屏分析入门
VinWqx的博客
12-25 4万+
一、WinDbg介绍 WinDbg,英文全称为Windows DebuggerWindows调试程序。 WinDbg是Windows平台下面的一款调试工具,通过dmp文件对蓝屏、程序崩溃原因进行分析,定位问题根源。官方描述WinDbg功能为以下三点: 调试内核模式和用户模式代码 分析故障转储 在代码执行时检查 CPU 寄存器。 微软官方文档学习资料:https://docs.microsoft.com/zh-cn/windows-hardware/dr...
如何利用Debugview方式来调试MySQL UDF
03-03
Debugview是由Sysinternals开发的一款强大的调试工具,它可以捕获和显示由Windows API的`OutputDebugString`函数发送的调试信息。由于它支持Win9x/NT系列操作系统以及内核调试,因此适用于多种环境。 **使用Debug...
Python库 | ptvsd-4.2.8b1-cp37-cp37m-win32.whl
03-23
ptvsd(Python Tools for Visual Studio Debugger)是这样一个库,特别为Visual Studio Code和其他支持DAP(Debug Adapter Protocol)的IDE或编辑器提供远程调试功能。这个库的版本是4.2.8b1,表明它是一个预发布...
内核驱动调试工具DebugView(DbgView)
12-22
使用DbgView的第一步是安装软件,解压名为"DebugView_Window10x64"的压缩包文件,通常包含DbgView的执行程序。在安装完成后,打开DbgView,它会自动开始捕获系统中的调试消息。这些消息来源于使用`DbgPrint`函数或者...
Windows Batch Debugger
12-31
这是一个windows脚本调试器程序。 绿色:只需复制文件到同一目录下就可以了。 纯净:基本不使用注册表,只是在注册文件类型图标和文件关联时才使用了注册表。 无毒:绝对没有任何恶意代码,但是由于程序会自动产生临时的批处理文件,可能会被杀毒软件误报。 注意:如果不能启动,下载vcredist_x86.exe安装VC运行库,然后再试。 已经实现的功能: 设置断点; 在断点命中时在代码编辑器指示哪个断点被命中。 在断点命中时可以观察现场状态【变量、ErrorLevel、当前目录】; 如果批处理没有调用Exit退出,那么可以观察到批处理执行完的现场状态; 调试暂停时会自动打开/切换文件并滚动代码窗口,使当前断点可见; 可以预设批处理执行前的环境变量和当前目录。 工程管理,也就是管理批处理文件、断点、观察变量、初始环境变量、初始当前目录、批处理入口文件、批处理文件命令行参数的信息。 支持用户自定义界面,使用标签多文档界面和停靠栏。 双击.bdc文件,会启动windows脚本调试器。 附带使用手册和批处理指南。 准备实现的功能: 在断点命中时修改环境变量或者当前目录; 语法分析【代码着色、语法检查的基础】; 语法检查; 代码着色; 内置命令帮助; 不打算实现的功能: 我感觉批处理编程并不能提供多少智能提示,所以就不做了。 局限性: 代码编辑器暂时不支持中文,这个是最大的限制了,我会在下个版本解决这个问题; 只可以在批处理语句之前加断点,不可以在空行、标签行和右括号)开头的行加断点,不可以在非批处理代码处加断点; 不支持单步调试; 必须在调试之前加断点,在调试之后加的断点,只能在以后的调试会话中起作用。 启动批处理脚本只能接受10个参数,这个限制好像问题不大。 目前可能还有bug。 注意: 不要调试本程序所在目录下的那三个批处理程序,否则会出现无法预料的行为。为了保险,请把他们设为只读隐藏文件。 可以把halt.exe也设为只读隐藏文件。 我会持续改进本程序。 email: cdp97531@sina.com blog: http://hi.baidu.com/chendeping/home
debugger for windows
09-16
debugger for windows
win ce 6.0基于PXA270 实验教程
08-17
3. **应用程序开发**:使用Visual Studio或其他开发工具,学习编写针对Win CE的C++或.NET Compact Framework应用程序,了解如何利用API进行文件操作、网络通信和多媒体处理。 4. **硬件集成**:理解PXA270的电源...
[Windows]下visual studio code C#环境的搭建和debugger的配置
acmer24的博客
07-11 1424
任何JSON文件,都是以键值对的形式,向windows终端启动g++.exe时传入形参的文件,用以调节g++.exe启动时的状态。
Windows用户级调试器(debugger)编写框架
炎黄的专栏
02-07 2746
    这几天帮朋友做了个内存补丁,大致熟悉了一下Windows下用户级调试器(Debugger)程序编写的基本框架。做一个小小的总结,由于本人能力所限,这里只是根据MSDN的说明,给出一个大致的框架结构,还请高手批评指正。其实,要编写实际可用或是更加完善的程序,还需要学习掌握更多的技术,花费更多的努力!    我想对于Debugger不用多说什么了。我认为除了SoftIce之外,做得比较好的
windbg抓一个windows蓝屏分析
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
WinDebug的一些基本使用命令
拥抱变化
09-17 2万+
查看当前线程的调用堆栈  kb 查看全部线程的调用堆栈 ~*kb 显示分析的详细信息 !analyze -v  继续执行 g 查看线程详细信息,例如线程入口地址 ~21 (数字代表线程id) 查看变量地址 x 变量名,可以用通配符 例如 x 05memcorrupt!g_* 用给定类型查看对象 dt 类型名 地址 例如 dt
WinDBG 常用调试命令总结
CSDN
06-10 1万+
Windbg(Windows Debugger)是一款由Microsoft开发的用于Windows操作系统的强大调试工具。它主要用于分析和调试Windows应用程序、驱动程序以及操作系统本身的问题。Windbg提供了许多功能和命令,可用于诊断和解决各种软件和硬件问题,包括崩溃、死锁、性能问题等。
Windows开发入门:工具-WinDbg的安装和使用教程
热门推荐
锕琅的博客
01-18 6万+
序言 目录序言安装1)下载2)配置环境变量3)重启并测试使用 参考文档: WinDbg的安装 安装 1)下载 点我跳转下载链接 直接点击页面里的 Download WinDbg Preview from the Microsoft Store就会自动打开windows应用商城下载。 安装完成后,可以从c盘搜索WinDbg找到安装目录,默认的是在C:\Users\你的用户名\AppData\Local\Microsoft\WindowsApps 2)配置环境变量 安装好之后就需要配环境变量,打开环境变量配置
cc debugger win10驱动
最新发布
10-24
CC Debugger是一种用于调试和编程Texas Instruments (TI)系列Chipcon无线芯片的工具。在使用CC Debugger之前,我们需要确保计算机上安装了相应的驱动程序。对于Windows 10操作系统,以下是CC Debugger驱动程序的安装过程。 首先,我们需要找到CC Debugger驱动程序的安装文件。可以从TI官方网站或其他可信来源下载安装文件。确保下载最新版本的驱动程序以保持兼容性和稳定性。 接下来,我们双击驱动程序的安装文件,开始安装过程。在安装过程中,可能会提示用户接受许可协议和选择安装位置。请按照提示进行操作,并确保选择正确的安装位置。 一旦安装完成,我们需要将CC Debugger连接到计算机。首先,将CC Debugger的USB接口插入计算机的可用USB端口。系统会自动检测新的硬件连接并尝试安装相应的驱动程序。 如果系统无法自动安装驱动程序,则需要手动安装。我们可以打开Windows设备管理器,找到列表中的未知设备或其它相关设备,右键点击并选择“更新驱动程序”。然后选择“浏览计算机以查找驱动程序软件”,并浏览到先前安装驱动程序的位置,选择适用于CC Debugger的驱动程序文件。 完成以上步骤后,系统会将CC Debugger识别为有效设备并安装相应的驱动程序。这样,我们就成功地将CC DebuggerWindows 10操作系统连接起来,并可以开始使用它进行调试和编程无线芯片的工作了。 总的来说,CC DebuggerWindows 10操作系统上的驱动程序安装过程相对简单。只需几个步骤即可完成安装,确保计算机与CC Debugger的连接正常工作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值