Windows软件调试学习笔记(二)—— 调试事件的采集
要点回顾
- 调试器与被调试进程通过DEBUG_OBJECT结构体建立联系。
- DEBUG_OBJECT中有一个链表成员,用于记录所有调试事件。
- 当被调试进程产生调试事件时,调试器从链表中取出调试事件进行处理。
思考:是否所有的调试事件都会被记录到链表中?
答案:调试事件有不同种类,只有几个最关键的种类才会被记录到链表中,例如被调试进程进行文件读写、申请内存、释放内存等行为时不会产生调试事件。
调试事件的种类
Windows将调试事件的种类分为8种:
typedef enum _DBGKM_APINUMBER
{
DbgKmExceptionApi = 0, //所有异常
DbgKmCreateThreadApi = 1, //创建线程
DbgKmCreateProcessApi = 2, //创建进程
DbgKmExitThreadApi = 3, //线程退出
DbgKmExitProcessApi = 4, //进程退出
DbgKmLoadDllApi = 5, //加载DLL
DbgKmUnloadDllApi = 6, //卸载DLL
DbgKmErrorReportApi = 7, //已废弃
DbgKmMaxApiNumber = 8, //最大值
} DBGKM_APINUMBER;
由于DbgKmErrorReportApi已经废弃,因此真正的调试事件只有7种。
思考:调试事件由谁生成,又是谁将调试事件写入对应的链表当中?
答案:调试事件采集函数。
调试事件采集函数
描述:
1)调试器在被调试进程进行特定操作的必经之路中调试事件采集函数,必经之路分为5条,其中以Dbgk开头的函数为调试事件采集函数,所有调试事件采集函数最终都会调用DbgkpSendApiMessage将封装好的调试事件结构体写入到链表当中。
2)DbgkSendApiMessage有两个参数,第一个参数为调试事件类型,第二个参数为是否挂起其它线程,有时需要,比如0xCC,有时不需要,比如模块加载。
创建进程、线程必经之路:
PspUserThreadStartup()
↓
DbgkCreateThread()
↓
DbgkpSendApiMessage()
退出线程、进程必经之路:
PspExitThread()
↓
DbgkExitThread()/DbgkExitProcess()
↓
DbgkpSendApiMessage()
加载模块的必经之路:
LoadLibrary
↓
CreateMapping
↓
NtMapViewOfSection()
↓
DbgkMapViewOfSection()
↓
DbgkpSendApiMessage()
卸载模块的必经之路:
NtUnMapViewOfSection()
↓
DbgkUnMapViewOfSection()
↓
DbgkpSendApiMessage()
异常的必经之路:
KiDispatchException()
↓
DbgkForwardException()
↓
DbgkpSendApiMessage()
例:分析PspUserThreadStartup
例:分析PspExitThread
typedef struct _DEBUG_OBJECT {
KEVENT EventsPresent; //+00 用于表示有调试事件发生,调试事件发生时修改此处状态
FAST_MUTEX Mutex; //+10 用于同步互斥对象,保证调试器与DbgkpSendApiMessage对链表的访问是线程安全的。
LIST_ENTRY EventList; //+30 保存调试消息的链表
ULONG Flags; //+38 标志 调试消息是否已读取
} DEBUG_OBJECT, *PDEBUG_OBJECT;
思考:为什么各个调试事件要用不同的函数去收集?
答案:因为不同调试事件处理时所需的信息不同、用于存储信息的结构体也不同。
总结
- 调试事件有多种,真正需要关注的只有7种。
- Windows通过在被调试进程的必经之路上调用调试事件采集函数,向DEBUG_PORT中挂入调试事件。
- 不同事件的必经之路所使用的调试事件采集函数不同,但最终都通过DbgkSendApiMessage向链表中写入调试事件信息。