LOAD_DLL_DEBUG_EVENT调试事件

最新推荐文章于 2022-05-31 21:00:15 发布
最新推荐文章于 2022-05-31 21:00:15 发布
阅读量3.2k 收藏
点赞数
文章标签: dll path file null windows string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shifters/article/details/6594797
版权
  
LOAD_DLL_DEBUG_EVENT结构如下
typedef struct _LOAD_DLL_DEBUG_INFO {
  HANDLE hFile;
  LPVOID lpBaseOfDll;
  DWORD  dwDebugInfoFileOffset;
  DWORD  nDebugInfoSize;
  LPVOID lpImageName;
  WORD   fUnicode;
} LOAD_DLL_DEBUG_INFO, *LPLOAD_DLL_DEBUG_INFO;
 
其中hFile表示导入DLL的句柄,我们可以通过这个句柄得到DLL的名称;lpBaseOfDll表示导入DLL的基地址;dwDebugInfoFileOffset表示通过hFile得到调试信息的偏移量;nDebugInfoSize表示通过hFile得到调试信息的大小,以字节为单位;IpImageName表示通过hFile得到的文件名。如何通过hFile得到调试信息,我还没找到方法,不过这种方法有时是得不到调试信息的,所以暂时先不考虑。fUnicode表示由lpImageName得到文件名是Unicode或者是ANSI。
当调试器收到LOAD_DLL_DEBUG_EVENT事件时,如何得到导入DLL的名称呢?我先想到的是利用IpImageName得到导入DLL的名称,使用的代码如下:
    strDebugText = new char [100];
      strDebugText = (char *)DbgEvt.u.LoadDll.lpImageName;
      strText = strDebugText;
      strText += "\r\n";
      strPromptText = strText + strPromptText;
      ::SetDlgItemText(AfxGetMainWnd()->m_hWnd, IDC_DISPLAYINFO, strPromptText);
      delete [] strDebugText;
但结果是得不到任何调试信息。接下来的几天辗转反侧,始终没有什么办法,知道在MSDN发现这样一段代码
#include <windows.h>
#include <stdio.h>
#include <tchar.h>
#include <string.h>
#include <psapi.h>
#include <strsafe.h>
#define BUFSIZE 512
BOOL GetFileNameFromHandle(HANDLE hFile) 
{
  BOOL bSuccess = FALSE;
  TCHAR pszFilename[MAX_PATH+1];
  HANDLE hFileMap;
  // Get the file size.
  DWORD dwFileSizeHi = 0;
  DWORD dwFileSizeLo = GetFileSize(hFile, &dwFileSizeHi); 
  if( dwFileSizeLo == 0 && dwFileSizeHi == 0 )
  {
     _tprintf(TEXT("Cannot map a file with a length of zero.\n"));
     return FALSE;
  }
  // Create a file mapping object.
  hFileMap = CreateFileMapping(hFile, 
                    NULL, 
                    PAGE_READONLY,
                    0, 
                    1,
                    NULL);
  if (hFileMap) 
  {
    // Create a file mapping to get the file name.
    void* pMem = MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 1);
    if (pMem) 
    {
      if (GetMappedFileName (GetCurrentProcess(), 
                             pMem, 
                             pszFilename,
                             MAX_PATH)) 
      {
        // Translate path with device name to drive letters.
        TCHAR szTemp[BUFSIZE];
        szTemp[0] = '\0';
        if (GetLogicalDriveStrings(BUFSIZE-1, szTemp)) 
        {
          TCHAR szName[MAX_PATH];
          TCHAR szDrive[3] = TEXT(" :");
          BOOL bFound = FALSE;
          TCHAR* p = szTemp;
          do 
          {
            // Copy the drive letter to the template string
            *szDrive = *p;
            // Look up each device name
            if (QueryDosDevice(szDrive, szName, MAX_PATH))
            {
              size_t uNameLen = _tcslen(szName);
              if (uNameLen < MAX_PATH) 
              {
                bFound = _tcsnicmp(pszFilename, szName, uNameLen) == 0;
                if (bFound && *(pszFilename + uNameLen) == _T('\\')) 
                {
                  // Reconstruct pszFilename using szTempFile
                  // Replace device path with DOS path
                  TCHAR szTempFile[MAX_PATH];
                  StringCchPrintf(szTempFile,
                            MAX_PATH,
                            TEXT("%s%s"),
                            szDrive,
                            pszFilename+uNameLen);
                  StringCchCopyN(pszFilename, MAX_PATH+1, szTempFile, _tcslen(szTempFile));
                }
              }
            }
            // Go to the next NULL character.
            while (*p++);
          } while (!bFound && *p); // end of string
        }
      }
      bSuccess = TRUE;
      UnmapViewOfFile(pMem);
    } 
    CloseHandle(hFileMap);
  }
  _tprintf(TEXT("File name is %s\n"), pszFilename);
  return(bSuccess);
}
int _tmain(int argc, TCHAR *argv[])
{
    HANDLE hFile;
    if( argc != 2 )
    {
        _tprintf(TEXT("This sample takes a file name as a parameter.\n"));
        return 0;
    }
    hFile = CreateFile(argv[1], GENERIC_READ, FILE_SHARE_READ, NULL,
        OPEN_EXISTING, 0, NULL);
    if(hFile == INVALID_HANDLE_VALUE)
    {
        _tprintf(TEXT("CreateFile failed with %d\n"), GetLastError());
        return 0;
    }
    GetFileNameFromHandle( hFile );
}
通过GetFileNameFromHandle可以通过句柄得到文件名,这个函数需要使用psapi.DLL,在windows 7下可以直接使用,在windows xp下需要下载psapi.DLL。
回到我的调试器如图所示,虽然仍是简陋,但已经能够输出DLL信息和breakpoint信息了。已经添加了简单的命令行,当初始化断点中断到调试器时,可是在命令行中输入G来继续了。除此以外,也可以手动设置断点,但由于没有引入符号文件或源码,只能在指定地址上设置断点。还有那个“send Message” 是为接下来工作做得,暂时不说了。
shifters
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
default 标签跳过 “”的初始化操作||LOAD_DLL_DEBUG_INFO中获取DLL文件名称
ATree的博客
10-01 959
一般情况下,我们很少在case标签下使用{},但是当你遇到这个问题的时候就应该考虑使用{},因为这个问题是因为你在case标签里面定义了变量,并且初始化了它,所以会出现这个default标签跳过的问题,你只需要将你定义初始化变量的case标签中的所有内容使用{}括起来就可以解决这个问题了。 下面这个问题是在写一个调试器时遇到的,我想将加载的DLL文件名称打印出来,在LOAD_DLL_DEBUG_
3.调试事件的处理
My classmates
11-02 1042
调试器会有一个循环一直判断EventList有没有调试事件有就取出来处理。 调试器创建形式 关联调试器与被调试器进程 调试循环 每一种收集调试事件API都不一样,是因为它要收集调试事件的类型是不一样的。 这是异常要收集的调试事件 typedef struct _EXCEPTION_DEBUG_INFO { EXCEPTION_RECORD ExceptionRecord; ...
LOAD_DLL_DEBUG_EVENTDLL名称
谢绝留言与私信
08-03 1311
前言msdn上说, 当(dbgEvent.dwDebugEventCode == LOAD_DLL_DEBUG_EVENT)时, 如果要取DLL名称. 要 判断 以下条件 pInfo = &dbgEvent.u.LoadDll; if ((NULL != pInfo) && (NULL != pInfo->lpImageName) && (NULL != (DWORD)(pInfo->lpIm
[Win32]一个调试器的实现(一)调试事件调试循环
weixin_30466039的博客
03-04 187
前言 程序员离不开调试器,它可以动态显示程序的执行过程,对于解决程序问题有极大的帮助。如果你和我一样对调试器的工作原理很感兴趣,那么这一系列文章很适合你,这些文章记录了我开发一个调试器雏形的过程,希望对你有帮助。或许我写的代码很拙劣,还请大家多多见谅! 这个调试器使用Visual Studio 2010作为开发工具,是一个控制台程序。为了简化,一切输入输出都使用C++标准库的相...
LoadDLL(1)_dll_
10-03
一个注入库,它在目标进程中手动映射给定的DLL,手动加载其导入并调用其启动例程
loaddll.exe
03-20
loaddll.exe
【逆向】【Part 3】DLL注入
lanlanla的成长历程
01-08 1687
目录 一、通过自制调试器来理解其原理 1.调试器的工作原理 实现反汇编功能(重点) 重点分析exception_debug_event 重点:1.对调试器程序增加异常处理操作功能,核心API,CONTEXT结构 二、DLL注入 重点:2.DLL注入的三种基本方法 1.利用全局消息钩子(Windos消息钩取( SetWindowsHookEx() API )) 2.写注册表 3...
python逆向调试工具_[原创]用IDAPython实现的反反调试小脚本
weixin_39861734的博客
12-21 961
更新加一个github地址DBGHider,里面加了inline hook。背景许多人喜欢用IDA进行静态分析,用OllyDbg进行动态分析,似乎很少人喜欢使用IDA进行调试。然而我这个菜鸟不会用OD,所以没有体会它的强大之处,我更喜欢用IDA的调试器。IDA的调试器功能也很强大。支持x64位程序。可以充分利用静态分析的结果。支持多种平台,Windows版本的IDA支持本地Windows调试,同时...
软件调试详解
hongduilanjun的博客
05-31 2156
首发于奇安信攻防社区:https://forum.butian.net/share/1478在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系调试器和被调试程序调试器与被调试程序之间建立起联系的两种方式CreateProcessDebugActiveProcess首先看一下调用的再调用通过调用号进入0环进入0环创建结构体 然后到里面看一下然后调用了创建结构返回句柄再回到,当前线程回0环创
调试器的设计与实现
05-16
- **LOAD_DLL_DEBUG_EVENT**:当加载DLL时触发。 - **UNLOAD_DLL_DEBUG_EVENT**:当卸载DLL时触发。 - **OUTPUT_DEBUG_STRING_EVENT**:当调试输出字符串时触发。 **1.3 调试事件处理** 调试器需要能够处理各种...
loadDllDumper.rar
07-22
使用详情请参考:https://blog.csdn.net/test201105/article/details/96883619 解决windows平台上配置python环境时经常出现的恼人错误提示:ImportError: DLL load failed: 找不到指定的程序。 这样的错误提示有用信息太少,无助于问题解决。本工具可以明白的告诉你为什么DLL load failed。 使用方法: LoadDllDumper.exe python -m pdb d:\test\test_script.py test_script.py中只需要一行import语句即可。 命令启动后dll加载信息会打印到屏幕上,同时会保存一份超详细的日志到loadDllDumper_log.txt文件中。 本工具仅支持x64平台,win7,win10可用。 本工具也可用于诊断其他存在dll加载失败的应用程序。
OllyDBG中LoadDll.exe 修正版
07-26
OllyDBG中LoadDll.exe 修正版
编写简单的 Windows调试
06-12
你经常调试程序,但你知道调试器的工作原理吗?
python灰帽子--调试器基础4:实现调试事件处理
3D模型素材库
07-29 277
承接上文,调试器基础2,调试器基础3 为了让调试器能够针对特定的事件采取相应的行动,我们必须给所有调试器能够捕捉到的调试事件,编写处理函数。 回顾一下上文提到的WaitForDebugEvent()函数,每当它捕获到一个调试事件的时候,就返回一个填充好的DEBUG_EVENT结构。 现在我们要用存储在结构里的信息决定如何处理调试事件 DEBUG_EVENT定义如下: typedef struct DEBUG_EVENT { DWORD dwDebugEventCode; DWORD dwProcessI
LoadDll详解----衔接于上篇的DLL装载
For Geek
05-12 4069
根据我们上次所讲,其大概流程是差不多理清了,但是还有具体的一些细节和一个Tls的大头还没阐述,先把LoadDll的具体细节讲完,这里推荐大家去看毛德操先生的著作《内核情景分析》,这本书对ReactOS(一种也是基于NT的内核,但是不同于Windows,它是完全开源的)的解析入木三分,我读完这个DLL的装载后大有所获,所以强烈推荐这本好书!!! 好了,接下来就是我们的正题了先复习下调用流程。 Ldr...
理解操作系统对程序的反馈:异常(Exception)和通知(Debug Event)【2】
uestcylg的专栏
11-01 966
2.3.3 通知(Debug Event)是操作系统跟调试器交流的一种方法通知,也叫做调试信息(Debug Events),是操作系统在某些事件发生的时候,通知调试器的一个手段。跟异常处理相似,操作系统在某些事件发生的时候,会检查当前进程是否有调试器加载。如果有,就会给调试器发送对应的消息,以便使用调试器进行观察。跟异常不一样的地方就是,只有调试器才会得到通知,应用程序本身是得不到的。同时调试器得到通知后不需要做什么处理,没有1st /2nd chance的差别。在Windbg帮助文件的Controllin
Win32 调试接口设计与实现浅析 [2] 调试事件
Flier's Sky
04-05 1214
http://flier_lu.blogone.net/?id=1324316[2] 调试事件    前面说到 Win32 下的用户态调试器实际上就是一个while循环,循环体内先等待一个调试事件,然后处理之,最后将控制权交还给调试服务器,就好像一个窗口消息循环一样。调试事件的核心实际上就是一个DEBUG_EVENT结构,在WinBase.h文件中定义如下:以下为引用:
load dll 简单方式
gqdw
06-08 3932
本文转自codeprojcet  http://www.codeproject.com/KB/DLL/dllease.aspx load dll也就是load dll中的函数,一般是loadlibrary,GetProcAddress,每一步都要判断函数返回是否正确,比较繁琐,该作者干脆做了个封装,将这些重复步骤封装到一个bool的函数中,这样只要在if语句中调用一下可以了,具体来看代码:
一个通用的动态装载DLL的函数
06-21 319
[赣]Bahamut(28103589) 10:31:20 function LoadDLL(const DLLName, FuncName: string): Pointer;  var    hModule: Windows.HMODULE; begin   Result:= nil;   if not FileExists(DLLName) then    Exit;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值