TraceDebug

最新推荐文章于 2021-02-16 22:03:56 发布
最新推荐文章于 2021-02-16 22:03:56 发布
阅读量1.1k 收藏
点赞数
分类专栏: 编程随笔 文章标签: integer function exception constructor string interface
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soft_ice/article/details/470251
版权

功能简述:可以跟踪exe执行的序列,并记录到文件里。作用主要可以比较exe在不同环境中执行的差异处。从而可以得到差异点。

思路:首先需要用DEBUG_PROCESS标志CreateProcess加载目标程序。然后在每一步下断点,同时得到eip的值,写入文件里(同时记录寄存器的值也可以) 如何下断点呢?其实普通的中断是Int3,也就是在需要中断的地方插入Int3,然后再WaitForDebugEvent循环里判断中断类型。对于每一步都中断的情况,只需要在入口插入int3,然后单步执行就可以了。那么如何插入int3呢?其实也就是修改中断地址的头一个字节为CC,同时保存原来的字节。中断的时候再把原来的字节写回去。调用的api主要是WriteProcessMemory。中断后如何得到eip和寄存器的值呢?使用的是GetThreadContext函数,思路基本清楚了,开始动手把。首先设计一个TBreakPointMgr类,用于管理断点,因为断点可能多个。然后新建一个线程来启动目标程序(你总不希望调试的时候我们的程序挂起吧)

先来看看TBreakPointMgr类。

/// <summary>

/// 断点管理的类,主要作用是设置断点,清除断点,查找断点。里面定义了一个TBreakPointRec

/// 结构的数组,用于存放断点。

/// </summary>

/// <author>bohe</author>

unit untBreakPointMgr;

 

interface

 

uses

  Classes,Windows;

 

type

  TBreakPointRec = packed record

    pAddr: Cardinal;

    Code: char;

  end;

  TBreakPointMgr = class(TObject)

  private

    fhDebug: THandle;    //debug进程结构

    fBreakList: array of TBreakPointRec;  //breakpoint list

  public

    //breakpoint has been setted at pAddr?

    function FindBreakPoint(pAddr: Cardinal; var code: char): boolean;

    constructor Create(hDebug: THandle);

    //adding or deleting a breakpoint will call this function

    function SetBreakPoint(pAdd: Cardinal;Code: char): char;

    //delete a breakpoint

    procedure DelBreakPoint(pAdd: Cardinal);

    //clear all breakpoints

    procedure ClearBreakPoint;

    //add a breakpoint at pAddr

    procedure AddBreakPointAt(pAddr: Cardinal);

  end;

 

implementation

 

{ TMyDebug }

 

 

{ TMyDebug }

 

 

procedure TBreakPointMgr.AddBreakPointAt(pAddr: Cardinal);

var

  Code,tmp: char;

begin

  Code := SetBreakPoint(paddr,chr($CC));

  //断点列表里没有这个地址

  if not FindBreakPoint(pAddr,Code) then

  begin

    SetLength(fBreakList,Length(fBreakList)+1);

    fBreakList[Length(fBreakList)-1].pAddr := pAddr;

    fBreakList[Length(fBreakList)-1].Code := Code;

  end;

end;

 

procedure TBreakPointMgr.ClearBreakPoint;

var

  i: Integer;

begin

  for i := 0 to Length(fBreakList) - 1 do

  begin

    DelBreakPoint(fbreaklist[i].pAddr);

  end;

end;

 

constructor TBreakPointMgr.Create(hDebug: THandle);

begin

  fhDebug := hDebug;

end;

 

procedure TBreakPointMgr.DelBreakPoint(pAdd: Cardinal);

var

  Code: char;

  i,j: Integer;

begin

  if FindBreakPoint(pAdd,code) then

  begin

    SetBreakPoint(pAdd,Code);

  end;

end;

 

function TBreakPointMgr.FindBreakPoint(pAddr: Cardinal; var Code: char): Boolean;

var

  i: Integer;

begin

  Result := false; //chr(0);

  for i := 0 to Length(fBreakList)-1 do

  begin

    if fBreakList[i].pAddr = pAddr then

    begin

      Code := fBreaklist[i].Code;

      result := true;

      exit;

    end;

  end;

 

end;

 

function TBreakPointMgr.SetBreakPoint(pAdd: Cardinal; Code: char): char;

var

  b: byte;

  rc: boolean;

  dwRead,dwOldFlg: Cardinal;

begin

  Result := code;

  // 0x80000000以上的地址为系统共有区域,不可以修改

  if((pAdd >= $80000000) or (pAdd = 0)) then exit;

  // 取得原来的代码

  rc := ReadProcessMemory(fhDebug, Pointer(pAdd), @b, sizeof(BYTE), dwRead);

  // 原来的代码和准备修改的代码相同,没有必要再修改

  if((not rc) or (Chr(b) = code)) then exit;

  // 修改页码保护属性

  VirtualProtectEx(fhDebug, Pointer(pAdd), sizeof(char), PAGE_READWRITE,

  @dwOldFlg);

  // 修改目标代码

  if WriteProcessMemory(fhDebug, Pointer(pAdd), @code, sizeof(char), dwRead) then

    result := Chr(b)

  else Result := Chr(0);

  // 恢复页码保护属性

  VirtualProtectEx(fhDebug, Pointer(pAdd), sizeof(char), dwOldFlg, @dwOldFlg);

end;

 

end.

接着看TTraceDebug类,这是一个线程类。

/// <summary>

/// 线程类,在里面加载目标程序,同时在waitDebugEvent循环里监测目标进程。

/// </summary>

/// <author>bohe</author>

unit untWaitDebug;

 

interface

 

uses

  Classes,windows,SysUtils ,forms, untBreakPointMgr, ComCtrls;

 

 

 

type

  TThreadInfo = record

    ThreadId: Cardinal;

    hThread: THandle;

  end;

  TTraceDebug = class(TThread)

  private

    { Private declarations }

    fLogStr: string;

    m_hDebug: THandle;

    m_hThread: THandle;

    BPMgr: TBreakPointMgr;

    //hThread: THandle;

    //ThreadList: TStringList;

    bStartRec: Boolean;

    NumOfCodeLine: integer;

    MaxCodeLines: Integer;

    LowAddr: DWORD;

    HighAddr: DWORD;

    BreakPointAddress: DWORD;

    flog: TextFile; //   trace file

    logfile: string; //file name of trace

    //lst: TListview;

    function OnDebugEvent(pEvent: DEBUG_EVENT): Boolean;

    function OnDebugException(pEvent: DEBUG_EVENT): Boolean;

    procedure ResumeAllThread(dwThrdID: Cardinal);

    procedure SuspendAllThread(dwThrdID: Cardinal);

    procedure ClearLog;

    procedure AddResultLog();

    //procedure writeTrace(str);

    procedure SyncAddLog(logstr: string);

 

 

  protected

    procedure Execute; override;

 

  public

    exeName: string;

    procedure AddBreakPoint(Addr: Cardinal);

  end;

 

implementation

 

uses untMyDebug, main;

 

{ WaitDebug }

 

procedure TTraceDebug.AddBreakPoint(Addr: Cardinal);

begin

    BPMgr.AddBreakPointAt(Addr);

end;

 

procedure TTraceDebug.AddResultLog();

var

  lst: TListView;

begin

  //if flog<>0 then

  begin

   if not FileExists(logfile) then

      Rewrite(flog)

    else

      Append(flog);

    Writeln(flog,flogstr); 

  end;

 

end;

 

procedure TTraceDebug.ClearLog;

begin

//  frmDebug.lstLast.Items.Clear;

 // frmDebug.lstFirst.Items.Clear;

end;

 

 

procedure TTraceDebug.Execute;

var

  si: _STARTUPINFOA;       {进程启动信息}

  pi: _PROCESS_INFORMATION; {进程信息}

  Flage: DWORD;

  DebugEvent: DEBUG_EVENT;  {调试事件}

  Rc: Boolean;

  CodeCount: DWORD;{运行的指令数}

  ThreadHandle: Thandle;{主线程句柄}

  ThreadIDtoAttach: DWORD; {主线程句柄}

  ThreadContext: TContext;

  bWriteMem: boolean;

  //ProcessHandle: THandle;

  //ProcessIDtoAttach: DWORD;

begin

 

  Synchronize(ClearLog);

  bStartRec := true;

  NumOfCodeLine :=0;

  {建立调试进程}

  CodeCount := 0;

  //ThreadList := TStringList.Create;  //创建线程列表,

  //ConText.ContextFlags := CONTEXT_CONTROL;

  if frmDebug.rgpTrace.ItemIndex=0 then

    logfile := 'trace1.log'

  else logfile := 'trace2.log';

  AssignFile(flog,logfile);

  Rewrite(flog);

  Flage := DEBUG_PROCESS or DEBUG_ONLY_THIS_PROCESS;

  LowAddr := StrToInt('$'+frmDebug.edtLowAddr.Text);

  HighAddr := StrToInt('$'+frmDebug.edtHighAddr.Text);

  BreakPointAddress := StrToInt('$'+frmDebug.edtEOP.Text);  //入口断点

  MaxCodeLines := StrToInt(frmDebug.edtMaxNum.Text);

  GetStartupInfo(si);    {初始化si结构,不然无法正常建立进程}

  NumOfCodeLine := 0;

  ThreadHandle:=0;

  {if frmDebug.rgpTrace.ItemIndex=0 then

    lst := frmDebug.lstFirst

  else lst := frmDebug.lstLast;  }

  if not CreateProcess(nil, Pchar(exeName), nil, nil,

    False, Flage, nil, nil, si, pi) then

  begin

    fLogStr := '建立被调试进程失败';

    Synchronize(AddResultLog);

    exit;

  end;

  //ProcessHandle := pi.hProcess;

  CloseHandle(pi.hProcess);

  Closehandle(pi.hThread);

  while WaitForDebugEvent(DebugEvent, INFINITE) do

  begin  {根据事件代码进行相应处理}

    rc := OnDebugEvent(DebugEvent);

    if Rc then

      ContinueDebugEvent(DebugEvent.dwProcessId, DebugEvent.dwThreadId,

         DBG_CONTINUE)

    else

      ContinueDebugEvent(DebugEvent.dwProcessId, DebugEvent.dwThreadId,

         DBG_EXCEPTION_NOT_HANDLED);

  end;

 

end;

 

 

 

function TTraceDebug.OnDebugEvent(pEvent: DEBUG_EVENT): Boolean;

begin

  Result := true;

  case (pEvent.dwDebugEventCode) of

    CREATE_PROCESS_DEBUG_EVENT:

    begin

     m_hDebug := pEvent.CreateProcessInfo.hProcess;

     m_hThread := pEvent.CreateProcessInfo.hThread;

     //hThread := pEvent.CreateProcessInfo.hThread;

     //ThreadList.Clear;

     //ThreadList.AddObject(IntToStr(pEvent.dwThreadId),Pointer(pEvent.CreateProcessInfo.hThread));

     BPMgr := TBreakPointMgr.Create(m_hDebug);

     AddBreakPoint(BreakPointAddress);

     fLogStr := '被调试进程建立';

     //Synchronize(AddResultLog);

      //m_hDebug := pEvent->u.CreateProcessInfo.hProcess;

      // 记录线程ID和线程句柄的关系

      //m_gthreads[pEvent->dwThreadId] = pEvent->u.CreateProcessInfo.hThread;

    end;

    CREATE_THREAD_DEBUG_EVENT:

    begin

      //ThreadList.AddObject(IntToStr(pEvent.dwThreadId),Pointer(pEvent.CreateThread.hThread));

      // 记录线程ID和线程句柄的关系

      //m_gthreads [pEvent->dwThreadId] = pEvent->u.CreateThread.hThread;

    end;

 

    EXIT_THREAD_DEBUG_EVENT:

    begin

      // 线程退出时清除线程ID

      //m_gthreads.erase (pEvent->dwThreadId);

    end;

 

    EXCEPTION_DEBUG_EVENT:

    begin

      // 中断处理程序

      Result  := OnDebugException(pEvent);

    end;

  end;

end;

 

function TTraceDebug.OnDebugException(pEvent: DEBUG_EVENT): Boolean;

var

  pBreakAdd: Pointer;

  ThreadContext: CONTEXT;

  //hThread: THandle;

  Code: Cardinal;

  tmp: Char;

  callMem: pByte;

  dwRead: Cardinal;

  nMemLen: Integer;

  pMem: Cardinal;

  idx: integer;

  PwdBuf: pchar;

  //dwRead: Integer;

  tmpStr: string;

 

  bWriteMem: boolean;

begin

  Result := false;

 

 

  pBreakAdd := pEvent.Exception.ExceptionRecord.ExceptionAddress;

  code := pEvent.Exception.ExceptionRecord.ExceptionCode;

  //ThreadList.Find(IntToStr(pEvent.dwThreadId),idx);

  //hThread := Cardinal(ThreadList.Objects[idx]);

  ThreadContext.ContextFlags := CONTEXT_FULL;

  GetThreadContext(m_hthread, ThreadContext);

  if(pEvent.Exception.ExceptionRecord.ExceptionCode=EXCEPTION_BREAKPOINT) then

    begin

        Result := true;

        if not BPMgr.FindBreakPoint(Cardinal(pBreakAdd),tmp) then exit;

        ThreadContext.ContextFlags:=CONTEXT_CONTROL;      //important

        GetThreadContext(m_hThread,ThreadContext);

        if(abs(ThreadContext.Eip-BreakPointAddress)<2)       then

        begin

          ThreadContext.EFlags:=ThreadContext.EFlags or $100;

          BPMgr.DelBreakPoint(BreakPointAddress);

          ThreadContext.Eip:=BreakPointAddress;

          SetThreadContext(m_hThread, ThreadContext);

          //bWriteMem:=WriteProcessMemory(ProcessHandle,BreakPointAddress,OldCode,1,ByteWriten);

          bStartRec:=true;

          Result := true;

        end;

    end

              else  if((pevent.Exception.ExceptionRecord.ExceptionCode=EXCEPTION_SINGLE_STEP) and bStartRec)  then

    begin

      Result := true;

                     GetThreadContext(m_hThread,ThreadContext);

                     if(Threadcontext.Eip>=LowAddr) and (ThreadContext.Eip <= $ 2c 01000) then

      begin

        //跟踪结束,次数或者结束地址

                            if(NumofCodeLine>=MaxCodeLines) or (ThreadContext.Eip=HighAddr) then

        begin

                                   bStartRec:=false;

          frmDebug.sbar.SimpleText := 'finished!';

          //LoadLstData;

          CloseFile(flog);

          //lst.Items.EndUpdate;

 

          frmDebug.btnRun.Enabled := true;

          //frmDebug.btnCmp.Enabled := frmDebug.rgpTrace.ItemIndex=1;

          frmDebug.rgpTrace.ItemIndex := 1-frmDebug.rgpTrace.ItemIndex;

                                   //break;

                            end

        else begin

                            //pArraytoDump[NumofCodeLine]=ThreadContext.Eip;

          fLogStr := IntToHex(ThreadContext.Eip,8);

          Synchronize(AddResultLog);

                              inc(NumofCodeLine);

        end;

                     end;

                     ThreadContext.EFlags:=ThreadContext.EFlags or $100;

                     SetThreadContext(m_hthread, ThreadContext);

              end

              else  if(pEvent.Exception.ExceptionRecord.ExceptionCode=EXIT_PROCESS_DEBUG_EVENT)    then

    begin

//                   DebugSetProcessKillOnExit(false);

      result := true;

                     exit;

              end

 

 

end;

 

procedure TTraceDebug.ResumeAllThread(dwThrdID: Cardinal);

var

  i: Integer;

  dwID: Cardinal;

begin

 { for i := 0 to ThreadList.Count - 1 do

  begin

    dwID := StrToInt(ThreadList[i]);

    if dwID<>dwThrdID then

      ResumeThread(Cardinal(ThreadList.Objects[i]));

  end;   }

end;

 

procedure TTraceDebug.SuspendAllThread(dwThrdID: Cardinal);

var

  i: Integer;

  dwID: Cardinal;

begin

  {for i := 0 to ThreadList.Count - 1 do

  begin

    dwID := StrToInt(ThreadList[i]);

    if dwID<>dwThrdID then

      SuspendThread(Cardinal(ThreadList.Objects[i]));

  end;  }

 

end;

 

procedure TTraceDebug.SyncAddLog(logstr: string);

begin

  fLogStr := logstr;

  Synchronize(AddResultLog);

end;

 

end.

主界面就没有什么好说的了。。。。。。

soft_ice
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
debug&trace
09-18
debug&trace
TRACE用于debug模式下
明月清风 精进不止
05-12 1083
TRACE用于debug模式下
traceDebug
ASD_123_FGH_456的专栏
07-17 1348
/*BEGIN_LEGAL  Intel Open Source License  Copyright (c) 2002-2012 Intel Corporation. All rights reserved.   Redistribution and use in source and binary forms, with or without modification, ar
TraceDebug类的特性
mlnotes
08-01 1033
1、首先总结一下TraceDebug类的特性:  A、用法基本相同,只是Debug是在Debug本版本下使用,在Release版本下不会生成代码,而Trace在默认情况下是打开的,也就是说在Debug版本和Release版本下都会生成代码。  B、都是sealed类,不能被继承,如果这两个类不能满足应用要求的话只能自己实现相关功能,重新编写所有方法,不能继承这两个类。2、从特性上可以看出,
java debugtrace_DebugTrace的区别
weixin_33019827的博客
02-16 718
一.首先要明白DebugTrace的区别:1. Debug.Write和Trace.Write有什么不同?何时应该使用哪一个?Debug类提供一组帮助调试代码的方法和属性。Trace类提供一组帮助跟踪代码执行的方法和属性,通俗的说就是为在不打断程序的调试或跟踪下,用来记录程序执行的过程。Debug只在debug状态下会输出,Trace在Release下也会输出,在Release下Debug的内容...
学会使用TraceDebug
weixin_30814329的博客
06-17 306
随着我们程序的逐渐庞大,业务逻辑的逐渐复杂,我们写的代码往往,或者说越来越不按照我们预料的方式运行。碰到这样的情况,通常我们会使用Debugger来调试我们的程序。但是,Debugger不是万能的。我们程序里会有总多的线程,会有很多的循环,这样情况下,会使调试变的非常麻烦,我们也会很头疼。 于是,通过使用TraceDebug,我们会将程序的状态输出到消息记录(EvengLog)上来,通过查看消...
libgl_gdi.rar_DEBUG TRACE_trace
09-21
This will fail if any interposing layer (trace, debug, etc) has been introduced between the state-trackers and the pipe driver.
debug.trace
03-17
debug.trace
trace_anti_debug.zip
03-25
反调试
用于DebugView的Trace
04-28
Trace 用于多线程调试,打印日志信息!可使用 DebugView 查看日志。
DebugTrace_Release
09-17
DebugTrack 是调试输出字符串追踪工具,它可以非常方便准确地监视程序中使用 Windows API OutputDebugString 输出的字符串。   DebugTrack 是一个免费软件,你可以无偿地使用它的所有功能,甚至可以向作者索要源代码。如果用户能够通过论坛或 Email 及时反馈软件中存在的错误,提出好的建议,将被视为对作者的热心支持。这里要特别感谢我的好友 dREAMtHEATER,没有他的帮助模板、督促和鼓励,就不会有这个帮助文件。 软件版权属作者.
Trace
10-24
Trace
DebugTrace使用小记
a310805的博客
05-19 480
DebugTrace? DebugTrace这里指.Net中System.Diagnostics(System程序集)中的DebugTrace工具类。 如何使用? DebugTrace两个类都有很多静态方法和属性可以使用,并且DebugTrace大部分方法都不仅名称一样,用法也很相似。 如: Write系列和WriteLine系列方法,同TextWrit...
DebugTrace的区别?//作者:西西
call_from_dream的专栏
04-21 5808
转自:http://www.cr173.com/html/25103_1.html DebugTrace的区别? 1. Debug.Write和Trace.Write有什么不同?何时应该使用哪一个? Debug类提供一组帮助调试代码的方法和属性。Trace类提供一组帮助跟踪代码执行的方法和属性,通俗的说就是为在不打断程序的调试或跟踪下,用来记录程序执行的过程。 D
WCNSS_qcom_cfg.ini WIFI配置文件解析
xing176的专栏
06-05 9901
在ini.target.rc里面on boot 时insmod /vendor/lib/modules/qca_cld3_wlan.ko加载驱动,解析配置文件WCNSS_qcom_cfg.ini,wifi的一些默认属性在这里加载初始化,参考代码 vendor/qcom/opensource/wlan/qcacld-3.0/core/hdd/src/wlan_hdd_cfg.c hdd_pars...
DebugTrace的区别
热门推荐
身是菩提树、心是明镜台、时时勤拂拭、莫使惹尘埃
04-05 1万+
一.首先要明白DebugTrace的区别:   1. Debug.Write和Trace.Write有什么不同?何时应该使用哪一个? Debug类提供一组帮助调试代码的方法和属性。Trace类提供一组帮助跟踪代码执行的方法和属性,通俗的说就是为在不打断程序的调试或跟踪下,用来记录程序执行的过程。 Debug只在debug状态下会输出,Trace在Release下也会输出,在R
关于LOG4J中的日志级别TRACE
weixin_34075268的博客
10-28 2591
2019独角兽企业重金招聘Python工程师标准>>> ...
trace debug
最新发布
09-03
跟踪调试(trace debug)是一种软件开发过程中常用的技术,用于诊断和解决程序中的错误或异常情况。它允许开发人员在程序执行过程中插入断点并观察变量的值、函数的调用栈以及其他相关信息。 通常,跟踪调试可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值