用户态调试过程

在了解了用户态调试模型之后，根据模型来理解用户态调试过程。调试过程中包含三个对象，调试进程，被调试进程和调试子系统，从调试的视角上看可以忽略调试子系统的存在。

通常调试器进程用于控制和观察被调试进程的。一般包括UI线程和调试线程两个部分，UI线程负责和用户交互，而调试线程负责和被调试进程（调试子系统）交互。调试线程与普通线程的区别在于dbgssreserved字段的不同，dbgssrserved[0]用户记录被调试进程的线程链表头,dbgssrserved[1]用户记录debugobject句柄，这样调试器进程就无需保留被调试进程的信息，可以创建出通用调试器。

被调试进程则通常是指处于被调试状态下的程序实例。与一般的进程相比有以下几个不同点。debugport字段所指向的对象为debugobject，与调试器进程dbgssrserved[1]所记录的debugobject为同一个对象，debugobject是调试进程和被调试进程的通讯对象。

在我们使用调试器作为调试过程的起始点，在调试器中调用CreateProsses来创建一个被调试进程，并设置调试标志位来建立调试进程与被调试进程的通信，被调试进程启动后才能向调试进程发送调试事件。通过CreateProsses创建被调试进程并建立与调试进程的连接需要经过一下几个步骤：1.首先建立调试器与调试子系统的连接dbgssreserved字段并等待调试事件到来。2.内核中创建被调试进程3.设置被调试进程的上下文环境（begingdebug和debugport）。以上3步执行完毕表示调试器进程与被调试进程的通信建立完成，被调试进程在初始化上下文和载入文件映像时都会向调试进程发送相应的调试消息。

而通过DebugActiveProcess接口将调试进程附加到被调试进程与createProsses的差别主要在于一下几点

调试事件发生时被调试进程的所有线程被挂起，调试器进程等待并处理调试事件的过程和windows消息处理的过程是一样的，循环等待并处理后返回结果，主要通过WaitForDebugEvent获取调试事件处理完成之后在调用ContinueDebugEvent恢复被调试进程的运行。调试时间的结构如下：

使程序触发断点并挂起所有线程中断到调试器的方式有一下几种：

1.ntdll在创建被调试进程时会调用DbgBreakPoint函数

2.在代码中调用debugbreak接口

3.通过调试器设置断点，既将指令替换为int3中断

4.通过远程线程触发断点异常（DebugUiRemoteBreakin）

5.被调试进程提供中断功能，将当前线程挂起（SuspendThread），取得当前要执行的指令并替换为int3，恢复线程继续执行触发断点中断到调试器并清除int3。

6.动态调用远程函数，直接修改内存中的指令，调用一个其他地址的函数，函数执行完之后在修改回去。

7.挂起中断，将已经无法触发中断（死锁或同步访问超时）的程序强行挂起，在用调试观察一般被调试程序无法继续执行的情况。

8.调试热键，ntdll有提供挂起并中断到调试器的功能。

有时候不需要终止被调试进程的执行，只需要输出信息的情况下，可以使用outputdebugstring接口输出字符串到调试器。只要被调试程序处于调试状态，调试器就可以接收这个消息，但是每个消息都是通过调试中断的方式发送所以效率差也不安全。

调试器进程退出是通常也会导致被调试进程的退出，以windbg和notepad为例退出过程如下：

而对于附加进程而言，调用DebugActiveProcessStop分离调试器进程和被调试器进程，则不会导致被调试进程退出。