Windows软件调试学习笔记(三)—— 调试事件的处理

已于 2022-11-04 13:43:18 修改
阅读量1.2k 收藏 6
点赞数
分类专栏: x86内核 文章标签: 软件调试
于 2021-07-29 17:45:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/119210749
版权

Windows软件调试学习笔记(三)—— 调试事件的处理

要点回顾

  1. 当调试器与被调试进程建立连接后,调试器与被调试进程关系如下图所示
    在这里插入图片描述
  2. 被调试进程产生调试事件时,会有专门的API对调试事件进行捕获,并写入调试事件链表当中。
  3. 调试器不断检索调试事件链表,不断从调试事件链表中取出调试事件并进行处理。

调试事件的处理

调试器调试目标进程步骤

  1. 关联(创建进程/附加进程)
  2. 调试循环

实验一:实现简单调试器(创建进程)

1)将Dbgview.exe拷贝到C盘根目录下。

2)编译并运行以下代码:

// MyDebugger.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#define DEBUGGEE "C:\\Dbgview.exe"

int main(int argc, char* argv[])
{
	BOOL nIsContinue = TRUE;
	DEBUG_EVENT debugEvent = {0};
	BOOL bRet = TRUE;

	//1.创建调试进程
	STARTUPINFO startupInfo = {0};
	PROCESS_INFORMATION pInfo = {0};
	GetStartupInfo(&startupInfo);

	bRet = CreateProcess(DEBUGGEE, NULL, NULL, NULL, TRUE, DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &startupInfo, &pInfo);
	if(!bRet)
	{
		printf("CreateProcess error: %d \n", GetLastError());
		return 0;
	}

	//2.调试循环
	while(nIsContinue)
	{
		bRet = WaitForDebugEvent(&debugEvent, INFINITE);
		if(!bRet)
		{
			printf("WaitForDebugEvent error: %d \n", GetLastError());
			return 0;
		}

		switch(debugEvent.dwDebugEventCode)
		{
		//1.异常
		case EXCEPTION_DEBUG_EVENT:
			printf("EXCEPTION_DEBUG_EVENT %x %x %x \n",
				debugEvent.u.Exception.ExceptionRecord.ExceptionAddress,
				debugEvent.u.Exception.ExceptionRecord.ExceptionCode,
				debugEvent.u.Exception.ExceptionRecord.ExceptionFlags);
			//printf("EXCEPTION_DEBUG_EVENT\n");
			break;
		//2.
		case CREATE_THREAD_DEBUG_EVENT:
			printf("CREATE_THREAD_DEBUG_EVENT\n");
			break;
		//3.
		case CREATE_PROCESS_DEBUG_EVENT:
			printf("CREATE_PROCESS_DEBUG_EVENT\n");
			break;
		//4.
		case EXIT_THREAD_DEBUG_EVENT:
			printf("EXIT_THREAD_DEBUG_EVENT\n");
			break;
		//5.
		case EXIT_PROCESS_DEBUG_EVENT:
			printf("EXIT_PROCESS_DEBUG_EVENT\n");
			break;
		//6.
		case LOAD_DLL_DEBUG_EVENT:
			printf("LOAD_DLL_DEBUG_EVENT\n");
			break;
		//7.
		case UNLOAD_DLL_DEBUG_EVENT:
			printf("UNLOAD_DLL_DEBUG_EVENT\n");
			break;
		//8.
		case OUTPUT_DEBUG_STRING_EVENT:
			printf("OUTPUT_DEBUG_STRING_EVENT\n");
			break;
		}
		bRet = ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
	}

	return 0;
}

运行结果:
在这里插入图片描述
进程被正常创建,但是在程序创建过程中产生了一条异常事件。

思考:为什么在进程创建过程中会产生一条异常事件?
答案:需要了解进程的创建过程。

进程的创建过程

  1. 映射EXE文件
  2. 创建内核对象EPROCESS
  3. 映射系统DLL(ntdll.dll)
  4. 创建线程内核对象ETHREAD
  5. 系统启动线程
    1. 映射当前线程所需的其它DLL(调用ntdll.LdrInitializeThunk
    2. 主线程开始执行

实验二:分析异常来源

1)初步定位异常事件来源
1.1 将调试器设置为第一次暂停于系统断点
在这里插入图片描述1.2 加载Dbgview.exe
在这里插入图片描述
不难看出,是由于程序加载时调用了INT 3指令导致异常事件的产生。
右下角堆栈窗口显示当前指令位于ntdll.DbgBreakPoint函数。

2)在IDA中定位DbgBreakPoint
在这里插入图片描述3)查看DbgBreakPoint的交叉引用列表
在这里插入图片描述
在列表中发现LdrpInitializeProcess,这是进程初始化过程的相关函数。

4)分析LdrpInitializeProcess
4.1 从函数头向下分析
在这里插入图片描述4.2 分析调用DbgBreakPoint之处
在这里插入图片描述在这里插入图片描述说明在程序创建过程中,一定有API修改了BeingDebugged这个标志位。

5)查看LdrpInitializeProcess函数的交叉引用
在这里插入图片描述6)查看LdrpInitialize函数的交叉引用
在这里插入图片描述最终定位到了LdrInitializeThunk函数,在进程创建过程中会调用此函数。
这么做是因为系统在进程创建过程中给了调试器一个机会让程序中断下来。

实验三:实现简单调试器(附加进程)

1)启动“驱动管理.exe“

2)编译并运行以下代码

#include "stdafx.h"
#include <windows.h>
#include <tlhelp32.h>
#define DEBUGGEE "驱动管理.exe"

int GetProcessId(char *processName)
{
	HANDLE hProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hProcSnap == INVALID_HANDLE_VALUE)
	{
		ExitProcess(-1);
	}
	
	PROCESSENTRY32 pe32 = { sizeof(PROCESSENTRY32) };
	
    if(Process32First(hProcSnap, &pe32))
    {
        do
        {	
            if(pe32.th32ProcessID != 0)
            {
				if(strcmp(pe32.szExeFile, processName) == 0)
				{
					return pe32.th32ProcessID;
				}
            }
        }while(Process32Next(hProcSnap, &pe32));
    }
	
    CloseHandle(hProcSnap);
	
	return 0;
}

int main(int argc, char* argv[])
{
	BOOL nIsContinue = TRUE;
	DEBUG_EVENT debugEvent = {0};
	BOOL bRet = TRUE;

	//1.附加调试进程
	if(!DebugActiveProcess(GetProcessId(DEBUGGEE)))
	{
		return 0;
	}
	
	//2.调试循环
	while(nIsContinue)
	{
		bRet = WaitForDebugEvent(&debugEvent, INFINITE);
		if(!bRet)
		{
			printf("WaitForDebugEvent error: %d \n", GetLastError());
			return 0;
		}
		
		switch(debugEvent.dwDebugEventCode)
		{
			//1.异常
		case EXCEPTION_DEBUG_EVENT:
			printf("EXCEPTION_DEBUG_EVENT %x %x %x \n",
				debugEvent.u.Exception.ExceptionRecord.ExceptionAddress,
				debugEvent.u.Exception.ExceptionRecord.ExceptionCode,
				debugEvent.u.Exception.ExceptionRecord.ExceptionFlags);
			//printf("EXCEPTION_DEBUG_EVENT\n");
			break;
			//2.
		case CREATE_THREAD_DEBUG_EVENT:
			printf("CREATE_THREAD_DEBUG_EVENT\n");
			break;
			//3.
		case CREATE_PROCESS_DEBUG_EVENT:
			printf("CREATE_PROCESS_DEBUG_EVENT\n");
			break;
			//4.
		case EXIT_THREAD_DEBUG_EVENT:
			printf("EXIT_THREAD_DEBUG_EVENT\n");
			break;
			//5.
		case EXIT_PROCESS_DEBUG_EVENT:
			printf("EXIT_PROCESS_DEBUG_EVENT\n");
			break;
			//6.
		case LOAD_DLL_DEBUG_EVENT:
			printf("LOAD_DLL_DEBUG_EVENT\n");
			break;
			//7.
		case UNLOAD_DLL_DEBUG_EVENT:
			printf("UNLOAD_DLL_DEBUG_EVENT\n");
			break;
			//8.
		case OUTPUT_DEBUG_STRING_EVENT:
			printf("OUTPUT_DEBUG_STRING_EVENT\n");
			break;
		}
		bRet = ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
	}

	return 0;
}

运行结果:
在这里插入图片描述
思考:为什么在附加进程时,会收到与进程创建相同的信息。
答案:这些信息被称为“杜撰的调试信息”。

DebugActiveProcess最终会进入ntoskrnl!NtDebugActiveProcess

实验四:分析NtDebugActiveProcess

在这里插入图片描述跟入DbgkpPostFakeProcessCreateMessages
在这里插入图片描述提供这些虚假消息的目的是给提供调试器一些必要的信息,但可靠性较低(例如模块信息是通过遍历PEB的Ldr链表模拟出来的,但是部分模块可能已经被程序卸载或隐藏了)。

总结

  1. 调试器在创建进程时,除了能得到进程创建、创建线程、模块加载等调试事件之外,还会收到一个异常事件。
  2. 异常来源于调试器创建进程时触发的系统断点,目的是给调试器一个中断的机会。
  3. 调试器在附加进程时,能够得到一份模拟的进程创建时产生的相关调试事件信息
  4. 这些虚假的调试事件信息可靠性较低,程序在执行过程中可能已经处理过部分信息。
lzyddf
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
英伟达DeepStream学习笔记11——调试工具及诊断手法
耶律大石的博客
05-31 401
参考: 1、gstream官方调试工具说明
windows调试
10-10
windows软件调试人员的必备工具书,里面包含了详尽的windows调试方法。
Windows程序调试(推荐大家看看)
04-26
经典书籍,真诚推荐,尤其是搞软件编程的!!!
Windows软件调试
weixin_34397291的博客
02-21 125
1、 视频: (1)、VS下的C++调试方法.wnv (2)、WinDbg高级调试技术.wmv (3)、内存与句柄泄漏处理技巧.wmv 2、 “WinDbg高级调试技巧” 中 【01:22】讲到“软件调试的书籍”有: 1、The Developer's Guide to Debugging 软件调试实战 2、 Debug It ! Find, Repair, and Prev...
windows程序员进阶系列:《软件调试》之Win32堆的调试支持
weixin_33770878的博客
05-04 162
    Win32堆的调试支持     为了帮助程序员及时发现堆中的问题,堆管理器提供了以下功能来辅助调试。   1:堆尾检查(Heap Tail Check) HTC,在堆尾添加额外的标记信息,用于检测堆块是否溢出。 2:释放检查(Heap Free Check)在释放堆块时进行检查,防止释放同一个堆块。 3:参数检查,对传递给堆的各种参数进行更多的检查。 4:调用时验证(Hea...
[Win32]一个调试器的实现(一)调试事件调试循环
weixin_30475039的博客
09-13 195
[Win32]一个调试器的实现(一)调试事件调试循环 作者:Zplutor出处:http://www.cnblogs.com/zplutor/本文版权归作者和博客园共有,欢迎转载。但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。 前言 程序员离不开调试器,它可以动态显示程序的执行过程,对于解决程序问题有极大的帮助。如果你和我一样对调试器...
3.1 调试处理
布纸所云
08-31 330
One of the painful things about training deepness is the sheer number of hyperparameters you have to deal with, ranging from the learning rate alpha to the momentum term beta, if using momentum, or th...
Java中jqGrid 学习笔记整理——进阶篇(二)
09-02
在本篇Java中jqGrid的学习笔记整理中,我们将聚焦于jqGrid与后台Java服务的数据交互。jqGrid是一款强大的JavaScript库,用于创建动态、交互式的表格,而这里的进阶篇(二)将涉及到如何通过Java后端来提供数据支持。 ...
Android 学习笔记——利用JNI技术在Android中调用、调试C++代码
04-15
这篇“Android学习笔记——利用JNI技术在Android中调用、调试C++代码”将带你深入理解如何在Android应用中使用JNI来调用C++代码,以及如何进行调试。以下是对这一主题的详细阐述。 1. **JNI简介** JNI是Java平台的...
STM32H743IIT6学习笔记04——移植LetterShell
08-06
在本学习笔记中,我们将关注如何在STM32H743IIT6上移植并使用LetterShell,一个用于嵌入式系统的命令行界面工具。 LetterShell是一款轻量级的命令行解释器,它允许开发者通过串口或网络接口对嵌入式系统进行交互式...
格蠹汇编——软件调试案例集锦
01-17
蠹汇编 编辑 ...第四篇收录了使用调试器探索计算机世界的若干学习笔记,包括在调试器中细品CPU,通过调试器观察和解码堆块结构,透视Windows8的新类型应用以及使用调试器监视启动、睡眠和唤醒大基本过程等
Dbgview.exe
11-04
在dll工程中,我们use windows。 需要输出内容的地方,使用OutputDebugString,例如 OutputDebugString(PChar('处理HookProc,Code值:'+intToStr(Code))); 打开Dbgview.exe,可以看到输出值。
3-1 调试处理
diyudong4681的博客
09-18 88
调试处理( Tuning process) 按照参数的重要性依次排列: 学习速率$\alpha$ Momentum(动量梯度下降法)的参数$\beta$ 如果使用Adam 优化算法的参数${\beta _1}$,${\beta _2}$,$\varepsilon $,但是通常使用默认值:0.9,0.999,${10^{{\rm{ - }}8}}$ mini-batc...
Windows软件调试学习笔记(二)—— 调试事件的采集
qq_41988448的博客
07-28 669
软件调试学习笔记(二)—— 调试事件的采集要点回顾调试事件的种类调试事件采集函数例:分析PspUserThreadStartup例:分析PspExitThread总结 要点回顾 调试器与被调试进程通过DEBUG_OBJECT结构体建立联系。 DEBUG_OBJECT中有一个链表成员,用于记录所有调试事件。 当被调试进程产生调试事件时,调试器从链表中取出调试事件进行处理。 思考:是否所有的调试事件都会被记录到链表中? 答案:调试事件有不同种类,只有几个最关键的种类才会被记录到链表中,例如被调试进程进行文
调试与异常处理
in_kim的博客
07-30 135
C# 调试与异常处理
Windows下获取进程调试日志工具
xingyun86的专栏
08-02 506
Windows下获取进程调试日志工具 主要是outputdebug输出的信息,方便大家调试程序。 支持托盘,支持尺寸拖拉 链接: https://pan.baidu.com/s/1AqNXFLzNblcbjfBDapdYXw 备用链接
Windows用户态程序高效排错 -- 异常(Exception)和通知(Debug Event)
agan4014的专栏
03-20 5711
 理解操作系统对程序的反馈:异常(Exception)和通知(Debug Event)本小结首先介绍异常的原理和相关资料,再举例说明异常跟崩溃和调试是如何紧密联系在一起的。最后说明如何利用工具来监视异常,获取准确的信息。2.3.1  异常(Exception)的方方面面和一篇字字珠玑的文章异常是CPU,操作系统和应用程序控制代码流程的一种机制。正常情况下,代码是顺序执行的,比如下面两行
理解操作系统对程序的反馈:异常(Exception)和通知(Debug Event)【1】
uestcylg的专栏
11-01 818
<br />本小结首先介绍异常的原理和相关资料,再举例说明异常跟崩溃和调试是如何紧密联系在一起的。最后说明如何利用工具来监视异常,获取准确的信息。<br />2.3.1 异常(Exception)的方方面面和一篇字字珠玑的文章<br />异常是CPU,操作系统和应用程序控制代码流程的一种机制。正常情况下,代码是顺序执行的,比如下面两行:<br />*p=11;<br />printf(“%d”,*p);<br />这里应该会打印出11。 但若p指向的地址是无效地址呢?那么这里对*p赋值的时候,也就是CPU向
CC2540 HostTest调试学习笔记——MCU应用
"这篇文档是关于CC2540微控制器在HostTest应用中的调试学习记录,主要聚焦于程序的启动流程。文档来源于csdn,使用的软件环境包括BTool、SDK1.5.2.0以及IAR10.30.0编译器,硬件设备为CC2540 USB dongle。" 文章内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值