10.0 探索API调试事件原理

已于 2023-11-07 13:23:45 修改
阅读量5.6k 收藏 1
点赞数 1
分类专栏: 《灰帽黑客:攻守道》 文章标签: c语言 Visual C++ 信息安全 异常处理 调试器
于 2023-10-03 18:30:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/133524975
版权

本章笔者将通过Windows平台下自带的调试API接口实现对特定进程的动态转存功能,首先简单介绍一下关于调试事件的相关信息,调试事件的建立需要依赖于DEBUG_EVENT这个特有的数据结构,该结构用于向调试器报告调试事件。当一个程序发生异常事件或者被调试器附加时,就会产生对应的DEBUG_EVENT调试事件,通常DEBUG_EVENT包含了多种调试类型,包括异常事件、进程创建事件、线程创建事件、进程退出事件和线程退出事件等等,我们只需要动态捕捉这些调试事件并作相应的处理即可实现更多有用的功能。

调试事件通常可以分为如下几种类型;

  • 异常事件 (Exception Event) - 发生了异常,例如访问非法的内存、除以零或调用了无效的函数。
  • 进程创建事件 (Process Creation Event) - 当一个新进程被创建时发送此事件。
  • 进程退出事件 (Process Exit Event) - 当一个进程退出时发送此事件。
  • 线程创建事件 (Thread Creation Event) - 当一个新线程被创建时发送此事件。
  • 线程退出事件 (Thread Exit Event) - 当一个线程退出时发送此事件。
  • 调试字符串事件 (Debug String Event) - 当一个进程向其调试器发送字符串消息时发送此事件。
  • 输出字符串事件 (Output String Event) - 当输出调试字符串时发送此事件。
  • 动态链接库加载事件(LOAD_DLL_DEBUG_EVENT) - 当进程装载 DLL 时发送此事件。

当我们需要调试一个程序时有两种方式可以实现,第一种方式是通过CreateProcess()函数创建一个进程,并在调用函数时指定DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS则当程序被运行起来后自动进入到调试状态,另一种方式则是通过DebugActiveProcess()函数,该函数接受一个正在运行的进程PID号,可动态附加到一个已运行程序上而对其进行调试。

一旦调试器通过CreateProcess()附加并运行,下一步则是通过WaitForDebugEvent()用于等待一个调试事件,当有调试事件到达后系统会将调试类型存储到debugEvent.dwDebugEventCode这个变量内,此时我们可以通过判断该变量内的参数来对特定的事件做出自定义处理操作,接着会通过ContinueDebugEvent()继续等待下一个调试事件的到来,我们以打开一个进程并创建调试为例,看一下如下代码片段;

#include <iostream>
#include <windows.h>

int main(int argc, char* argv[])
{
    DEBUG_EVENT debugEvent = { 0 };
    BOOL bRet = TRUE;

    // 创建调试进程
    STARTUPINFO startupInfo = { 0 };
    PROCESS_INFORMATION pInfo = { 0 };
    GetStartupInfo(&startupInfo);

    // 创建调试进程并设置 DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS 调试事件
    bRet = CreateProcess("d://lyshark.exe", NULL, NULL, NULL, TRUE, DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &startupInfo, &pInfo);
    if (!bRet)
    {
        return 0;
    }

    // 附加调试进程
    // DebugActiveProcess(13940)

    // 无限循环等待调试事件
    while (WaitForDebugEvent(&debugEvent, INFINITE))
    {
        // 根据调试事件判断
        switch (debugEvent.dwDebugEventCode)
        {
            // 异常调试事件
        case EXCEPTION_DEBUG_EVENT:
            printf("异常处理事件 \n");
            break;

            // 线程创建调试事件
        case CREATE_THREAD_DEBUG_EVENT:
            printf("线程创建调试事件 \n");
            break;
            // 进程创建调试事件
        case CREATE_PROCESS_DEBUG_EVENT:
            printf("进程创建调试事件 \n");
            break;
            // 线程退出调试事件
        case EXIT_THREAD_DEBUG_EVENT:
            printf("线程退出调试事件 \n");
            break;
            // 进程退出调试事件
        case EXIT_PROCESS_DEBUG_EVENT:
            printf("进程退出调试事件 \n");
            break;
            // 装载DLL调试事件
        case LOAD_DLL_DEBUG_EVENT:
            printf("装载DLL调试事件 \n");
            break;
            // 卸载DLL调试事件
        case UNLOAD_DLL_DEBUG_EVENT:
            printf("卸载DLL调试事件 \n");
            break;
            // 输出调试信息事件
        case OUTPUT_DEBUG_STRING_EVENT:
            printf("输出调试信息事件 \n");
            break;
        }

        // 使调试器能够继续以前报告调试事件的线程
        bRet = ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
    }

    system("pause");
    return 0;
}

当编译并运行上述程序后,读者应该能看到如下图所示的输出效果,其中包括了各类调试事件被触发时的提示信息,由于在调试事件内没有做任何操作,程序在加载后就被自动运行起来了;

微软技术分享
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windchill10.0_api
09-05
windchill10.0_api是网页版的api,跟java的api类似。方便我们做二次开发windchill系统功能。
STK10.0安装及调试报告
12-02
STK10.0安装及调试报告:、STK 10软件的安装 .......................................................................... 1 1.1 STK 10软件的安装............................................................................................ 1 1.2 STK 10许可证的安装 ....................................................................................... 7 二、STK 10软件的运行调试
windchill10.0_api.chm
06-20
Windchill是PTC公司推出的一套集成应用软件,用来管理产品和工序的整个生命周期.
Xcode真机调试10.0
09-22
不用升级Xcode直接下载此文件,放入Xcode指定文件夹下即可
xcode真机调试10.0
04-05
升级手机系统10.0以后真机调试就报错了,只需要将这个文件下载拷贝到Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport下面重启xcode就行了
第2课-OC对象原理上-1
落泪无痕的博客
04-10 1432
第2课-OC对象原理上-1 [TOC] 1.1 alloc对象的指针地址和内存 首先我们看下面代码的执行 ZBPerson *p1 = [ZBPerson alloc]; ZBPerson *p2 = [p1 init]; ZBPerson *p3 = [p1 init]; NSLog(@"%@-%p-%p", p1, p1, &p1); NSLog(@"%@-%p-%p", p2, p2, &p2); NSLog(@"%@-%p-%p&q
第1课-OC对象原理基础
落泪无痕的博客
04-10 1003
第1课-OC对象原理基础 [TOC] 在探索OC对象原理之前,我们首先需要了解以下知识点 1. lldb lldb是xcode自带的命令行调试工具。 我们可以通过: help:查看lldb常见命令 help expression: 也可以指定查看某个具体命令,这里是查看expression的具体用法 1.1 计算表达式命令(expression、po、p) 1.1.1 expression expression可简写为expr或者e expression命令的作用是执行一个表达式,并将表达式返回的结果
iOS底层原理之方法的本质
weixin_40808615的博客
06-30 225
前言 在之前的OC类的探索(三) - cache_t分析中,我们分析了方法缓存的调用流程,然后经过向上的探索,发现了objc_msgSend,今天来探索一下这个。 一、知识准备 1.资料 objc源码 Runtime 2.Runtime 2.1 Runtime简介 Runtime通常叫它运行时,还有一个大家常说的编译时,它们之间的区别是什么 编译时:顾名思义正在编译的时候,啥叫编译呢?就是编译器把源代码翻译成机器能够识别的代码。编译时会进行词法分析,语法分析主要是检查代码是否符合苹果的规范,这个检查的
第5课-类的原理分析上-2
落泪无痕的博客
04-11 179
第5课-类的原理分析上-2 [TOC] 5.2.7 类方法在底层的存储 上一步中我们知道了对象方法存储在类的bits字段中,但是我们没有找到类方法,我们初步分析一下,如果类方法不在类中,那是不是可能在元类中呢,我们通过lldb验证一下: 验证通过。 我们思考一个问题,为什么类方法存储到元类里面呢? 首先我们通过上一步已经知道,对象方法已经存储到类里面,为了和对象方法区分,类方法是不是需要存储到另一个地方啊,那么也就存储元类最合适了。这也反向说明了元类存在的必要性。 结论:类方法是以实例方法的形式存储在元类
C语言创建文件夹和多级目录
C or CPP
04-30 292
无论是linux还是windows,mkdir默认就支持多级目录。如果文件已存在,命令行会显示子目录或文件已存在,但这又不是错误,不会影响后面的执行,所以无需手动判断该路径是否存在。用C来创建文件夹不是很推荐,因为他默认不支持多级目录。而且创建文件夹一般是项目初始化的过程,对性能也没什么要求,用C来实现很繁琐。注意,如果是在windows下,路径要改成 “a\b\c” 要实现跨平台可以写一个更改分隔符的实现。
数据排序(选择法)(C语言
m0_67184754的博客
05-01 455
【代码】数据排序(选择法)(C语言
二维数组求最大值(C语言
m0_67184754的博客
04-27 555
【代码】二维数组求最大值(C语言
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
android 9.0 10.0 framework系统api添加jni方法
06-28
### 回答1: Android 9.0和10.0的Framework系统API上添加JNI方法需要经过以下步骤: 1. 在Java层调用JNI方法前,需要先创建定义JNI方法的C++文件和对应的头文件。这些文件应该保存在frameworks/native/libs/目录下的对应模块中。例如,如果想要在WebView模块中添加JNI方法,则应该在frameworks/native/libs/webviewchromium/目录下创建文件并进行定义。 2. 编写C++代码实现JNI方法。在代码中,需要采用JNI函数以及Java Native Interface标准库的方法来实现该方法的功能。具体实现过程可以参考Android源码中frameworks/native/libs/input/Input.cpp文件的实现。 3. 在C++代码的头文件中定义JNI方法。为了让Java层正确调用JNI方法,需要在C++头文件中定义JNI函数名称、Java包名、Java类名以及方法参数的信息。参考Android源码中frameworks/native/libs/webviewchromium/webviewchromium_jni.h文件。 4. 在Java层调用JNI方法。要调用JNI方法,需要在Java代码中加载C++库。可以使用静态代码块System.loadLibrary("yourlibrary")来加载C++库,并在程序中使用对应的Java扩展头文件。在Java代码中,需要使用JNI函数来调用JNI方法。参考Android源码中frameworks/native/libs/webviewchromium/WebBackForwardList.java文件。 通过以上步骤,即可在Android 9.0和10.0的Framework系统API中添加JNI方法。需要注意的是,添加JNI方法需要遵循JNI标准,使用合适的JNI库函数和API接口,以确保程序代码的正确性和稳定性。 ### 回答2: Android 9.0和10.0的Framework系统API都支持添加JNI方法。 首先,要添加一个JNI方法,您需要在Java中编写该方法的实现,然后在C / C ++中编写对应的本地代码,然后使用JNI将二者连接起来。 为了在Framework中添加新的JNI方法,您需要找到Framework源代码中对应的Java类和C ++代码。然后按照以下步骤进行操作: 1. 在Java类中添加新的JNI方法声明,方法名必须与您要添加的本地方法的名称匹配。例如,如果您要添加一个名为newMethod的本地方法,则需要在Java类中声明以下内容: ```java public native void newMethod(int arg1, String arg2); ``` 注意:在声明中,您不能提供方法的实现。 2. 在C / C ++代码中实现新的本地方法,方法名称必须与您在Java中声明的方法名称一致。 ```cpp JNIEXPORT void JNICALL Java_com_example_MyClass_newMethod(JNIEnv *env, jobject obj, jint arg1, jstring arg2) { // 实现您的代码 } ``` 3. 最后,在您的C / C ++代码中获取Java类的引用,以便在Native代码中调用该方法。 ```cpp jclass clazz = env->FindClass("com/example/MyClass"); jmethodID methodId = env->GetMethodID(clazz, "newMethod", "(ILjava/lang/String;)V"); ``` 通过此方法ID,您可以使用JNI在C / C ++中调用该方法。 ```cpp env->CallVoidMethod(obj, methodId, arg1, arg2); ``` 这样,您就可以在Android 9.0和10.0的Framework系统API中添加新的JNI方法了。 ### 回答3: Android操作系统使用Java语言实现,但是也支持通过JNI机制(Java Native Interface)来调用C/C++编写的代码。在Android 9.0和10.0版本中,如果需要在Framework系统层中添加JNI方法,需要进行以下步骤: 1. 编写C/C++代码实现需要的功能,并将其编译成动态库(.so文件)。 2. 在Framework层中找到对应的Java类,并添加需要的Native方法声明。例如,如果要在TelephonyManager类中添加一个名为getSignalStrengthDbm的方法,则应该在TelephonyManager.java中添加以下Native方法声明: ``` private native int getSignalStrengthDbm(); ``` 3. 在frameworks/base目录下的services/core/jni目录中添加一个名为TelephonyManager.cpp的文件,并实现getSignalStrengthDbm方法: ``` static jint TelephonyManager_getSignalStrengthDbm(JNIEnv *env, jobject thiz){ // TODO: 通过调用C/C++代码实现需要的功能,并返回结果 return 0; } static const JNINativeMethod gMethods[] = { { "getSignalStrengthDbm", "()I", (void*)TelephonyManager_getSignalStrengthDbm}, }; int register_android_telephony_TelephonyManager(JNIEnv* env) { jclass clazz = env->FindClass("android/telephony/TelephonyManager"); if (clazz == NULL) { ALOGE("Can't find android/telephony/TelephonyManager"); return -1; } return env->RegisterNatives(clazz, gMethods, sizeof(gMethods) / sizeof(JNINativeMethod)); } ``` 4. 在frameworks/base目录下的services/core目录中找到文件Android.bp,将添加的TelephonyManager.cpp文件加入build文件中: ``` cc_library_shared { name: "libandroidfw", srcs: [ "jni/Animation.cpp", ... "jni/TelephonyManager.cpp", ], ... } ``` 5. 在Android.mk文件中添加TelephonyManager.cpp的编译规则: ``` LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) LOCAL_MODULE := TelephonyManager LOCAL_CFLAGS := -Werror LOCAL_SRC_FILES := TelephonyManager.cpp LOCAL_SHARED_LIBRARIES := libutils libcutils libbinder include $(BUILD_SHARED_LIBRARY) ``` 6. 重新编译Framework层并运行即可。 以上是在Android 9.0和10.0系统中添加JNI方法的步骤,其中涉及到的文件和目录可能有所不同,在实际开发中需要根据具体情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值