调试器的原理

最新推荐文章于 2023-07-22 15:17:41 发布
最新推荐文章于 2023-07-22 15:17:41 发布
阅读量897 收藏 2
点赞数
分类专栏: 逆向工程 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly1390811049/article/details/121153284
版权

软件断点

  • int3指令
  • 机器码为1字节,即0xCC
  • 没有数量限制
  • 局限性
  1. 属于代码类断点,即可以让CPU执行到代码段内的某个地址时停下来,不适用于数据段和I/O空间
  2. 对于在ROM(只读存储器)中执行的程序(比如BIOS或者其他固件程序),无法动态增加软件断点。因为目标内存是只读的无法动态写入断点指令。这时就要使用我们后面要介绍的硬件断点。

实验
是用windbg给MessageBoxW下断点,windbg只有在程序运行的时候才会把断点的地方改为int3

0:011> u user32!MessageBoxW
USER32!MessageBoxW:
7594f280 8bff            mov     edi,edi
7594f282 55              push    ebp
7594f283 8bec            mov     ebp,esp
7594f285 833d941c977500  cmp     dword ptr [USER32!gfEMIEnable (75971c94)],0
7594f28c 7422            je      USER32!MessageBoxW+0x30 (7594f2b0)
7594f28e 64a118000000    mov     eax,dword ptr fs:[00000018h]
7594f294 ba9c219775      mov     edx,offset USER32!gdwEMIThreadID (7597219c)
7594f299 8b4824          mov     ecx,dword ptr [eax+24h]
0:011> bp user32!MessageBoxW

查看下断点的地方是否变成0xCC
我们再启一个windbg附加来观察,同一个进程不能被2个调试器附加,所以我们使用Non-invasive模式,非入侵模式
在这里插入图片描述

0:000> u user32!MessageBoxW
USER32!MessageBoxW:
7594f280 cc              int     3
7594f281 ff558b          call    dword ptr [ebp-75h]
7594f284 ec              in      al,dx
7594f285 833d941c977500  cmp     dword ptr [USER32!gfEMIEnable (75971c94)],0
7594f28c 7422            je      USER32!MessageBoxW+0x30 (7594f2b0)
7594f28e 64a118000000    mov     eax,dword ptr fs:[00000018h]
7594f294 ba9c219775      mov     edx,offset USER32!gdwEMIThreadID (7597219c)
7594f299 8b4824          mov     ecx,dword ptr [eax+24h]

硬件断点

  • 基于CPU的调试寄存器
  • 可以对代码、数据访问和IO访问设置断点
  • 断点被触发时,CPU产生的是1号异常
  • 受调试寄存器的数量限制
  • Windbg的ba命令设置的便是硬件断点
  • 在多处理器系统中,硬件断点是与CPU相关的,也就是说针对一个CPU设置的硬件断点并适用于其它CPU

Intel 80306以上的CPU给我们提供了调试寄存器用于软件调试,硬件断点是通过设置调试寄存器实现的。
在这里插入图片描述
图为Intel手册提供的32位操作系统下8个调试寄存器的图示,DR0-DR3为设置断点的地址,DR4和DR5为保留。

DR6为调试异常产生后显示的一些信息,DR7保存了断点是否启用、断点类型和长度等信息。

我们在使用硬件断点的时候,就是要设置调试寄存器,将断点的位置设置到DR0-DR3中,断点的长度设置到DR7的LEN0-LEN3中,将断点的类型设置到DR7的RW0-RW3中,将是否启用断点设置到DR7的L0-L3中。

设置硬件断点需要的DR0-DR3很简单,就是下断点的地址,DR7寄存器很复杂,位段信息结构体如下:

typedef struct _DBG_REG7
{
    /*
    // 局部断点(L0~3)与全局断点(G0~3)的标记位
    */
    unsigned L0 : 1;  // 对Dr0保存的地址启用 局部断点
    unsigned G0 : 1;  // 对Dr0保存的地址启用 全局断点
    unsigned L1 : 1;  // 对Dr1保存的地址启用 局部断点
    unsigned G1 : 1;  // 对Dr1保存的地址启用 全局断点
    unsigned L2 : 1;  // 对Dr2保存的地址启用 局部断点
    unsigned G2 : 1;  // 对Dr2保存的地址启用 全局断点
    unsigned L3 : 1;  // 对Dr3保存的地址启用 局部断点
    unsigned G3 : 1;  // 对Dr3保存的地址启用 全局断点
                      /*
                      // 【以弃用】用于降低CPU频率,以方便准确检测断点异常
                      */
    unsigned LE : 1;
    unsigned GE : 1;
    /*
    // 保留字段
    */
    unsigned Reserve1 : 3;
    /*
    // 保护调试寄存器标志位,如果此位为1,则有指令修改条是寄存器时会触发异常
    */
    unsigned GD : 1;
    /*
    // 保留字段
    */
    unsigned Reserve2 : 2;
 
    unsigned RW0 : 2;  // 设定Dr0指向地址的断点类型
    unsigned LEN0 : 2;  // 设定Dr0指向地址的断点长度
    unsigned RW1 : 2;  // 设定Dr1指向地址的断点类型
    unsigned LEN1 : 2;  // 设定Dr1指向地址的断点长度
    unsigned RW2 : 2;  // 设定Dr2指向地址的断点类型
    unsigned LEN2 : 2;  // 设定Dr2指向地址的断点长度
    unsigned RW3 : 2;  // 设定Dr3指向地址的断点类型
    unsigned LEN3 : 2;  // 设定Dr3指向地址的断点长度
}DBG_REG7, *PDBG_REG7;

需要注意的是,设置硬件断点时,断点的长度、类型和地址是有要求的。
在这里插入图片描述
如图所示,保存DR0-DR3地址所指向位置的断点类型(RW0-RW3)与断点长度(LEN0-LEN3),状态描述如下:
​ 00:执行 01:写入 11:读写
​ 00:1字节 01:2字节 11:4字节

设置硬件执行断点时,长度只能为1

设置读写断点时,如果长度为1,地址不需要对齐,如果长度为2,则地址必须是2的整数倍,如果长度为4,则地址必须是4的整数倍。

实现
实现硬件断点,首先要获取当前线程环境

//获取线程环境
CONTEXT g_Context = { 0 };
g_Context.ContextFlags = CONTEXT_CONTROL;
GetThreadContext(hThread, &g_Context);

在CONTEXT结构体中,存放了诸多当前线程环境的信息,以下是从winnt.h文件中找到的CONTEXT结构体

typedef struct _CONTEXT {
 
    //
    // The flags values within this flag control the contents of
    // a CONTEXT record.
    //
    // If the context record is used as an input parameter, then
    // for each portion of the context record controlled by a flag
    // whose value is set, it is assumed that that portion of the
    // context record contains valid context. If the context record
    // is being used to modify a threads context, then only that
    // portion of the threads context will be modified.
    //
    // If the context record is used as an IN OUT parameter to capture
    // the context of a thread, then only those portions of the thread's
    // context corresponding to set flags will be returned.
    //
    // The context record is never used as an OUT only parameter.
    //
 
    DWORD ContextFlags;
 
    //
    // This section is specified/returned if CONTEXT_DEBUG_REGISTERS is
    // set in ContextFlags.  Note that CONTEXT_DEBUG_REGISTERS is NOT
    // included in CONTEXT_FULL.
    //
 
    DWORD   Dr0;
    DWORD   Dr1;
    DWORD   Dr2;
    DWORD   Dr3;
    DWORD   Dr6;
    DWORD   Dr7;
 
    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_FLOATING_POINT.
    //
 
    FLOATING_SAVE_AREA FloatSave;
 
    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_SEGMENTS.
    //
 
    DWORD   SegGs;
    DWORD   SegFs;
    DWORD   SegEs;
    DWORD   SegDs;
 
    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_INTEGER.
    //
 
    DWORD   Edi;
    DWORD   Esi;
    DWORD   Ebx;
    DWORD   Edx;
    DWORD   Ecx;
    DWORD   Eax;
 
    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_CONTROL.
    //
 
    DWORD   Ebp;
    DWORD   Eip;
    DWORD   SegCs;              // MUST BE SANITIZED
    DWORD   EFlags;             // MUST BE SANITIZED
    DWORD   Esp;
    DWORD   SegSs;
 
    //
    // This section is specified/returned if the ContextFlags word
    // contains the flag CONTEXT_EXTENDED_REGISTERS.
    // The format and contexts are processor specific
    //
 
    BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];
 
} CONTEXT;

从CONTEXT结构体中我们可以看到存放了调试寄存器 Dr0-Dr3和Dr6、Dr7,通过设置这些寄存器我们可以实现硬件断点。

已经获取了当前线程环境,接下来就是设置调试寄存器

//传入下断点的地址、类型、长度
void SetHardBP(DWORD addr, BreakPointHard type, BreakPointLen len)
{
    //利用上文中的DR7寄存器位段信息
    DBG_REG7 *pDr7 = (DBG_REG7 *)&g_Context.Dr7;
 
    if (len == 1)
    {
        //两字节的对齐粒度
        addr = addr - addr % 2;
    }
    else if (len == 3)
    {
        //四字节的对齐粒度
        addr = addr - addr % 4;
    }
 
    if (pDr7->L0 == 0)
    {
        g_Context.Dr0 = addr;   //利用Dr0寄存器存放地址
        pDr7->RW0 = type;       //Dr7寄存器中的RW0设置类型
        pDr7->LEN0 = len;        //Dr7寄存器中的LEN0设置长度
        pDr7->L0 = 1;            //Dr7寄存器中的L0启用断点
    }
    else if (pDr7->L1 == 0)
    {
        g_Context.Dr1 = addr;
        pDr7->RW1 = type;
        pDr7->LEN1 = len;
        pDr7->L1 = 1;
    }
    else if (pDr7->L2 == 0)
    {
        g_Context.Dr2 = addr;
        pDr7->RW2 = type;
        pDr7->LEN2 = len;
        pDr7->L2 = 1;
    }
    else if (pDr7->L3 == 0)
    {
        g_Context.Dr3 = addr;
        pDr7->RW3 = type;
        pDr7->LEN3 = len;
        pDr7->L3 = 1;
    }
}

调试寄存器的信息设置好之后,我们要将当前环境保存

//设置当前环境
SetThreadContext(hThread, &g_Context);

实现单步调试

当TF=1,CPU会发生中断,标志寄存器会自动压栈,在中断服务程序中,中断服务程序会改变(人为的改变)栈内TF位的设置TF=0,最后弹出标志寄存器给CPU,
所以不会产生你所说的反复中断(有些程序调试的时候需要单步中断,这时候只要把TF设置成1)

//设置TF标志位
void SetTrapFlag() {
    CONTEXT context = {0};
    GetDebuggeeContext(&context);
    context.EFlags |= 0x100;
    SetDebuggeeContext(&context);
 
}

实现步出

步出则是在ebp+4的地址设置断点,ebp+4保存的就是该函数的返回地址,也是上一个函数call指令的下一条指令

BOOL MoveOut()
{
    // 获取ebp
    CONTEXT    Context = {0};
    GetDebuggeeContext(&Context);
    // 获取ebp+4处保存的返回地址
    SIZE_T    addr = 0;
    if(!ReadDebuggeeMemory(Context.Ebp + 4,sizeof(addr),(LPVOID)&addr))
    {
        return FALSE;
    }
    // 设置一次性断点
    SetCCBreakPointAt(addr,SOFTTYPE_ONCE);
    return TRUE;
}

步过的实现

步过则是获得下一条指令长度,在下下条指令下断点

//步过,获得eip下一条指令的长度,越过这条指令下断点,这样就不会进入call里面
BOOL MoveOver()
{
    CONTEXT    Context = {0};
    GetDebuggeeContext(&Context);
    SIZE_T addr = GetCoodeLen(Context.Eip) + Context.Eip;
    SetCCBreakPointAt(addr,SOFTTYPE_ONCE);
    return TRUE;
}

用户态调试基本流程

编写一个最简单的附加调试器

int main(int argc,TCHAR *argv[])
{
    DWORD dwPID;
       BOOL waitEvent = TRUE;
    if (argc > 1) {
        dwPID = atoi(argv[1]);
    }
    else {
        printf("usage: MyDebugger.exe dwPID\n");
        exit(0);
    }
 
    DebugActiveProcess(dwPID);
    while (waitEvent)
    {
        DEBUG_EVENT MyDebugInfo;
        waitEvent = WaitForDebugEvent(&MyDebugInfo, INFINITE); // Waiting
        switch (MyDebugInfo.dwDebugEventCode)
        {
            case EXIT_PROCESS_DEBUG_EVENT:
                waitEvent = FALSE
                break;
        }
        if (waitEvent) {
            ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
        }
    }
    return 0;
}

DebugActiveProcess 这个调试API对目标PID进程进行调试附加操作,如果我们要在程序创建的时候就对程序进行调试可以在Debugger中执行CreateProcess并将第6个参数传入DEBUG_ONLY_THIS_PROCESS,这样设置之后,子进程发生的调试事件会通知给父进程处理。

CreateProcess(path, // 可执行模块路径
    NULL, // 命令行
    NULL, // 安全描述符
    NULL, // 线程属性是否可继承
    FALSE, // 否从调用进程处继承了句柄
    DEBUG_ONLY_THIS_PROCESS, // 以“只”调试的方式启动
    NULL, // 新进程的环境块
    NULL, // 新进程的当前工作路径(当前目录)
    &stcStartupInfo, // 指定进程的主窗口特性
    &stcProcInfo)) // 接收新进程的识别信息

DEBUG_EVENT中的dwDebugEventCode表示调试信息的种类,对于DEBUG_EVENT详细的介绍可以查看MSDN,简单来说就是用共用体来存储具体的数据。

typedef struct _DEBUG_EVENT {
    DWORD dwDebugEventCode;
    DWORD dwProcessId;
    DWORD dwThreadId;
    union {
        EXCEPTION_DEBUG_INFO Exception;
        CREATE_THREAD_DEBUG_INFO CreateThread;
        CREATE_PROCESS_DEBUG_INFO        
        CreateProcessInfo;
        EXIT_THREAD_DEBUG_INFO ExitThread;
        EXIT_PROCESS_DEBUG_INFO ExitProcess;
        LOAD_DLL_DEBUG_INFO LoadDll;
        UNLOAD_DLL_DEBUG_INFO UnloadDll;
        OUTPUT_DEBUG_STRING_INFO DebugString;
        RIP_INFO RipInfo;
    } u;
} DEBUG_EVENT, *LPDEBUG_EVENT;

用户态 DebugActiveProcess 实现

DebugActiveProcess 具体实现代码,主要就是调用了DbgUiConnectToDbg ,ProcessIdToHandle和DbgUiDebugActiveProcess这三个函数
在这里插入图片描述
DbgUiConnectToDbg
首先判断TEB->DbgSsReserved[1]是否保存着调试对象的句柄,如果存在则直接返回函数如果不存在就进行初始化并调用NtCreateDebugObject创建调试对象
在这里插入图片描述
ProcessIdToHandle
如果是伪句柄则调用CsrGetProcessId获取csrss.exe的PID,然后调用NtOpenProcess获得对应进程句柄,给后续调用做准备。
在这里插入图片描述
DbgUiDebugActiveProcess
此函数首先传入进程和调试对象的句柄进入内核,然后调用DbgUiIssueRemoteBreakin函数创建线程开始地址为DbgUiRemoteBreakin的远程线程让被调试进程断下来,如果远程线程设置失败则调用DbgUiStopDebugging停止调试。
在这里插入图片描述
全览图
在这里插入图片描述

1390811049
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
程序调试器原理
wjgit的专栏
07-06 1303
调试器原理调试器是一个程序,在开发工具中也是调用一个程序,在运行时就是一个进程,这个进程与普通进程没有区别,只是这个进程调用了内核的一些特殊函数(系统调用)来操纵内核数据,这些数据就是被调试进程的内存数据。 而对操作系统调试的调试器则不同,因为没有操作系统的支持,调试器本身就不再需要调用操作系统内核的程序来支持,但是此时的调试非常特殊,因为操作系统自己有中断处理程序,调试器对中断服务程序的劫持会让操作系统的操作变得有些不同,调试器首先启动先设置CPU为单步执行状态,然后启动操作系统...
调试原理
wangjiabin2007的专栏
07-19 1822
调试debug,就是两个进程之间建立起调试与被调试的关系,主要过程包括:1、打开调试进程,就是CreateProcess等函数,设置标志位DEBUG_PROCESS或者DEUBG_ONLY_THIS_PROCESS,建立一个调试者与被调试者的关系。CreateProcess最终调
调试器——原理
高毅的博客
06-02 1511
在本文中将介绍基于软断点的调试器的工作原理。本人是做Java开发的,由于对Python在安全方面感兴趣,特意对Python在构建调试器方面进行了研究与探索。 下面介绍的调试器原理是通用的。一般的调试器会提供三种类型的断点:软断点、硬件断点和内存断点。我重点对基于软断点的调试原理进行了研究。软断点是在调试应用程序时最为常用的断点。 软断点的实现是基于单字长指令的,该指令能中断进程的执行,并产生中
调试器的工作原理(一):基础篇
最新发布
Free雅轩的博客
07-22 241
回到例子中,一旦我们在 regs 变量中取得了寄存器的值,我们就可以通过将 PTRACE_PEEKTEXT 作为参数、 regs.eip(x86 上的扩展指令指针)作为地址,调用 ptrace ,读取当前进程的当前指令(警告:如同我上面所说,文章很大程度上是平台相关的。意味着该进程被其父进程跟踪。这是一种复杂却强大的工具,可以允许一个进程控制另外一个进程并从内部替换Peek and poke被控制进程的内核镜像的值(Peek and poke 在系统编程中是很知名的叫法,指的是直接读写内存内容)。
调试器工作原理--CPU软件断点/硬件断点/单步执行标识
网络安全研究
12-30 5063
断点和单步执行是两个经常使用的调试功能,也是调试器的核心功能。 断点是调试器的最常用技术之一。其基本思想是在某一个位置设置一个陷阱,当CPU执行到此位置时,中断到调试器中,让调试者分析和调试,之后恢复执行。 单步执行是最早的调试方式之一。就是让应用程序按照某一个步骤单位一步一步执行。一般的做法是,先使用断点功能将程序中断到感兴趣的位置,然后再单步执行关键的代码。
DbgUiRemoteBreakin反调试
sanqiuai的博客
09-02 1995
DbgUiRemoteBreakin是ntdll提供的用于在目标进程中创建远线程后下软件断点的函数 当我们用OD附加调试时,CreateRemoteThread函数在目标程序中创建了一个远程线程,然后在远程线程中调用DbgUiRemoteBreakin函数,DbgUiRemoteBreakin内部调用了DbgBreakPoint函数,DbgBreakPoint函数内部下了一个int 3断点,触发异常让操作系统运行异常处理程序,然后操作系统把控制权交管给调试器 ps:DbgUiIssueRemoteBreak
ARM学习(22)断点认识以及调试
张一西的博客
06-11 2393
笔者来聊聊断点以及断点的调试。
Android虚拟机调试器原理与实现
02-25
本文主要讲解Android虚拟机动态调试背后涉及到的技术原理,除了JDWP协议细节,还包括任意位置断点、堆栈输出、变量值获取等基础调试功能的具体实现。另外本文提供了一款新的android动态调试工具——AVMDBG,提供调试...
windows调试器原理
08-06
关于windows平台下用户模式调试器原理.doc
xds100v3调试器原理图完整版
10-28
xds100v3调试器原理图完整版,网络上的都普遍只有后半张
Debug调试器的工作原理
01-12
介绍Debug调试器的工作原理,重点介绍了Windows Debug API,不可多得的材料。-Debug debugging on the working principle, focus on the Windows Debug API, a rare material.
Windows内核调试器原理浅析
11-03
本文主要探讨Windows内核调试器的基本原理,以WinDBG为例,解释其工作方式和关键组件。 首先,WinDBG是一种流行的Windows内核调试器,它不直接在目标系统上运行,而是通过串行端口或网络与另一台运行调试模式的系统...
断点是如何工作的?
逗你吐血的博客
05-16 1096
断点是如何工作的? 原文:How do breakpoints even work? 停止程序执行的想法是70多年前作为ENIAC数字计算机的一部分发明的。当时,要暂停程序并进行调试,你必须拔掉控制程序流程的一根电缆,这就是所谓的“断点”。1 今天,断点是一种无处不在的调试程序的方式,大多数芯片架构甚至有专门的指令来触发它们!你有没有想过它们实际上是如何工作的?或者至少,当他们不这样做的时候会不高兴? 在本文中,我们将讨论断点的基本类型(硬件和软件)以及它们如何被GNU项目调试器GDB所利用。然后,我们将探
断点是如何工作的
Keep Fighting!
07-05 1075
Overview 在调试代码时,一个常见的问题就是断点到底是怎么工作的。另一个问题就是软件断点和硬件断点有什么不同,我应该选择哪种。本文将会深入的介绍软件和硬件断点的不同。也会更加详细的提供Code Composer Studio 和 Target的内部工作机制。并且,也会讨论特殊的断点的case和高级用法。 Abbreviation Used t CCS - Code Composer Studio (用于 TI DSP、微处理器和应用处理器的集成开发环境)t HWBP Hardware Brea.
调试器(debugger)是如何工作的
found的专栏
02-08 671
当然,我们可以尝试让调试器和被调试进程(debuggee)使用相同的内存空间,但是如果被调试进程(debuggee)本身又创建了新的进程怎么办。此外,只要进程不是处于正在运行的状态,内核就可以看到这个进程的寄存器值,而调试器必须能够知道被调试进程(debuggee)的寄存器值。由于我们已经知道如何在调试器中等待被调试进程里发生的特定事件,另外,我们现在也知道了如何恢复地址0x400516的原始值(和我们修改0xcc的过程一样)。幸运的是,我们是在x86_64上,不对齐的内存访问是允许的。
调试器工作原理——基础篇
老程序员专栏
09-05 963
#include int main() { printf(“Hello, world!n”); return 0; } 本文是一系列探究调试器工作原理的文章的第一篇。我还不确定这个系列需要包括多少篇文章以及它们所涵盖的主题,但我打算从基础知识开始说起。 关于本文 我打算在这篇文章中介绍关于Linux下的调试器实现的主要组成部分——ptrace系统调用。本文中出现的代码都在
int3和int 3的区别,溢出中断和into指令,bound指令
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
03-15 483
从内存物理地址A0000开始,到FFFF结束,有相当一部分空间是留给外围设备的。当它发现某个区域的头两个字节是0x55和0xAA时,那意味着该区域有ROM代码存在,是有效的;这时,前两个字节的内容是0x55和0xAA,第三个字节是本ROM中以512字节为单位的代码长度;从第四个字节开始,就是实际的ROM代码。溢出时并不会发生中断,但如果溢出时OF=1而执行into指令(机器码为0xCE),则会触发溢出中断。如果BOUND指令发现被测试的值超过了指令中给定的范围,那么就发生边界检查故障。
调试基础知识及原理
u012117034的博客
06-13 1613
个可调试的可执行文件。我个人觉得里面的内容可以分为3个部分。 1,机器码。C/C++ 转成的机器码 2,符号表信息(symbols) 3,调试信息(debug info) 无论是 Linux 的GDB,还是 Windows 的 WinDbg 跟 VsDebug,都是根据上面这些信息来进行调试的。...
int 3 软中断指令
niuyisheng的专栏
06-24 5788
1. int 3断点是一种很常用的断点类型,其机器码为CCh,所以也称为CC指令; 2. OllyDbg中用快捷键F2设置的断点就是int 3断点; 3. int 3断点原理  1)当执行一个int 3断点时,该地址处的内容被调试器用int3指令替换,但OD将int3隐藏,显示出来仍是下断前的指令;  2)当被调试程序执行int3指令导致一个异常时,调试器就会捕捉这个异常从而停在断点处,然
Windows用户态调试器原理
06-09
Windows用户态调试器是一种工具,它可以用来调试运行在Windows操作系统用户态的应用程序。它的原理是通过安装一个调试器驱动程序,来截获和处理应用程序的调试事件。 当一个应用程序运行时,它会向Windows操作系统发送各种调试事件,例如异常、断点、单步执行等。调试器驱动程序会截获这些事件,并将它们传递给调试器调试器会根据用户的设置,来处理这些事件。例如,在调试器中设置了一个断点,当应用程序执行到该断点时,调试器会暂停应用程序的执行,并让用户检查应用程序的状态。 除了截获和处理调试事件外,调试器还可以让用户查看应用程序的代码、变量、内存等信息。这些信息可以帮助用户找到应用程序的问题,并进行调试。 总之,Windows用户态调试器通过截获和处理应用程序的调试事件,来帮助用户调试运行在Windows用户态的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值