学习自建调试体系(二)

最新推荐文章于 2022-09-07 16:16:38 发布
最新推荐文章于 2022-09-07 16:16:38 发布
阅读量567 收藏 3
点赞数 1
原文链接:http://www.cnblogs.com/Lnju/p/5413868.html
版权

目录

这一部分的代码的作用主要是用于枚举NT内核模块的符号文件,很多都是常规写法(同一个套路),来做个总结,以后肯定是会再见到的。

获取模块信息


/*
    获取模块信息到SysModInfo结构
*/
BOOL DbgGetSysModuleInfo(PSYSTEM_MODULE SysModInfo)
{
    ULONG ulInfoLen = 0;
    NTSTATUS Status;
    SYSTEM_MODULE_INFORMATION* pStLoaderInfo = NULL;

    if (SysModInfo == NULL)
    {
        return FALSE;
    }
    // 套路1
    // 2次调用NtQuerySystemInforamtion获取系统模块信息。
    // 首次调用获取模块信息长度,作为第二次调用的参数
    // 再次调用才是真正的获取信息

    // NtQuerySystemInformation下文有详细解释
    NtQuerySystemInformation(SystemModuleInformation, NULL, 0, &ulInfoLen);

    if (!ulInfoLen)
    {
        return STATUS_UNSUCCESSFUL;
    }

    pStLoaderInfo = (SYSTEM_MODULE_INFORMATION*)malloc(ulInfoLen + sizeof(ULONG));

    //真正获取系统模块信息
    Status = NtQuerySystemInformation(SystemModuleInformation, (PVOID)pStLoaderInfo,
        ulInfoLen, &ulInfoLen);

    if (!NT_SUCCESS(Status))
    {
        if (pStLoaderInfo)
        {
            free(pStLoaderInfo);
        }

        return Status;
    }

    /*
    typedef struct _SYSTEM_MODULE_INFORMATION
    {
    ULONG           uCount;     //模块个数
    SYSTEM_MODULE   aSM[];      //模块数组
    }
    */
    if (pStLoaderInfo->aSM == NULL)
    {
        return STATUS_UNSUCCESSFUL;
    }

    //pStLoaderInfo->aSM[0] 第一个模块就是NT内核模块

    //驱动级的内存复制 
    RtlMoveMemory(SysModInfo, &pStLoaderInfo->aSM[0], sizeof(SYSTEM_MODULE));

    if (pStLoaderInfo)
    {
        free(pStLoaderInfo);
    }

    return TRUE;
}

NtQuerySystemInformation

NtQuerySystemInformation用于获取多种系统信息中的其中之一。

NTSTATUS
NtQuerySystemInformation(
    IN SYSTEMINFOCLASS  SystemInformationClass,     //指定获取哪种系统信息,枚举值
    OUT PVOID           pSystemInformation,         //buffer指针,用于接收请求的信息
    IN ULONG            uSystemInformationLength,   //buffer的长度
    OUT PULONG          puReturnLength OPTIONAL     //函数实际返回的系统信息占用的长度
    );

RtlMoveMemory


    //内存复制
    
    VOID RtlMoveMemory(
    _Out_       VOID UNALIGNED *Destination,
    _In_  const VOID UNALIGNED *Source,
    _In_        SIZE_T         Length
    );

枚举符号

枚举符号的过程感觉像是实现windbg从上游符号服务器获得符号文件的过程。很多地方能用到,IDA有时候也要符号文件,感觉也是很实用的套路。

DbgObjEnumSymbols(VOID)
{
    CHAR FilePath[512] = { 0 };
    CHAR Ntpath[512] = { 0 };
    CHAR pSymPath[512] = { 0 };
    CHAR SymFileName[512] = { 0 };

    wchar_t str[256] = { 0 };
    wchar_t SzOldEnvVar[512] = { 0 };

    SYSTEM_MODULE SysModInfo;
    HANDLE hProcess;
    HANDLE hFile;
    BOOL bRet = TRUE;
    DWORD dwFileSize = 0;//文件大小

    //
    //------------------------------------获得NT模块的信息
    //
    if (!DbgGetSysModuleInfo(&SysModInfo))      
    {
        return FALSE;
    }
    BaseOfDll = SysModInfo.Base;
    //
    //----------------------------------获取系统内核文件路径
    //
    GetSystemDirectoryA(Ntpath, sizeof(Ntpath));
    strcat_s(Ntpath, sizeof(Ntpath), "\\");
    strcat_s(Ntpath, sizeof(Ntpath), SysModInfo.ImageName + SysModInfo.ModuleNameOffset);
    OutputDebugStringA(Ntpath);

    //
    //-----------------------------------获取当前程序绝对路径
    //
    DbgGetModuleFilePathA(FilePath, sizeof(FilePath));
    sprintf_s(pSymPath, sizeof(pSymPath), "srv*%ssymbols*http://msdl.microsoft.com/download/symbols", FilePath);    
    OutputDebugStringA(pSymPath);
    //
    //------------------------------------ 设置符号选项
    //
    SymSetOptions(SYMOPT_CASE_INSENSITIVE | SYMOPT_DEFERRED_LOADS | SYMOPT_UNDNAME);
    //
    //------------------------------------初始化符号库
    //
    hProcess = GetCurrentProcess();
    bRet = SymInitialize(hProcess, pSymPath, TRUE);     //说明函数1
    if (!bRet)
    {
        swprintf_s(str, SizeOf(str), _T("SymInitialize bRet:%d"), bRet);
        OutputDebugString(str);
        return FALSE;
    }
    OutputDebugString(_T("初始化符号库成功!"));
    //
    //---------------------------------得到内核文件大小dwFileSize
    //
    hFile = CreateFileA(
        Ntpath,
        GENERIC_READ,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        0,
        NULL
        );
    if (INVALID_HANDLE_VALUE == hFile)
    {
        swprintf_s(str, SizeOf(str), _T("CreateFile hFile:%d"), hFile);
        OutputDebugString(str);
        return FALSE;
    }
    if (INVALID_FILE_SIZE == (dwFileSize = GetFileSize(hFile, NULL)))
    {
        swprintf_s(str, SizeOf(str), _T("GetFileSize dwFileSize:%d"), dwFileSize);
        OutputDebugString(str);
        return FALSE;
    }
    CloseHandle(hFile);
    __try
    {
    
        //
        //调用SymLoadModule函数载入对应符号库-----------------------------------------------
        //
        DWORD64 dw64ModAddress = SymLoadModule64(           //说明函数2
            hProcess,
            NULL,
            Ntpath,
            NULL,
            (DWORD64)SysModInfo.Base,
            dwFileSize
            );
        if (dw64ModAddress == 0)
        {
            swprintf_s(str, SizeOf(str), _T("SymLoadModule64 dw64ModAddress:%ld"), dw64ModAddress);
            OutputDebugString(str);
            return FALSE;
        }
        //
        //使用SymEnumSymbols函数枚举模块中的符号
        //

        //学习点4
        /*
        枚举符号,它既可以枚举全局的符号,也可以枚举当前作用域内的符号

        BOOL WINAPI SymEnumSymbols(
        _In_           HANDLE                         hProcess,  // 符号处理器的标识符,之前传递给SymInitialize函数
        _In_           ULONG64                        BaseOfDll, // 指定模块的基地址
        _In_opt_       PCTSTR                         Mask,      // 字符串,只有名称与该字符串匹配的符号才会被枚举,在字符串中允许使用通配符*和?
        _In_           PSYM_ENUMERATESYMBOLS_CALLBACK EnumSymbolsCallback,  // 对于每个被枚举的符号都会调用该函数
        _In_opt_ const PVOID                          UserContext   //用于传递给EnumSymbolsCallback函数的UserContext参数
        );

        */
        OutputDebugString(_T("使用SymEnumSymbols函数枚举模块中的符号!"));
        if (!SymEnumSymbolsW(                               //说明函数3
            hProcess,
            dw64ModAddress,
            NULL,
            EnumSymCallBack,                                //说明函数4
            NULL))
        {
            return FALSE;
        }

        SymUnloadModule64(hProcess, dw64ModAddress);
        SymCleanup(hProcess);

        bRet = TRUE;

    }
    __except (EXCEPTION_EXECUTE_HANDLER) {
        bRet = FALSE;
    }

    return bRet;
}

SymInitialize

初始化进程所对应的符号处理程序

BOOL
IMAGEAPI
SymInitialize(
    __in HANDLE hProcess,           //标识调用者的句柄,这个值必须是唯一且非0的数字,但是不需要是一个真正的进程句柄。如果用了进程句柄,那么一定保证句柄值的正确性。如果程序是一个调试器,传递进程句柄要传被调试进程的句柄,而不要传GetCurrentProcess返回值。
    __in_opt PCSTR UserSearchPath,  //用来搜索符号文件的路径,用;分隔
    __in BOOL fInvadeProcess        //如果为真,枚举进程被加载的模块,对每个模块调用SymLoadModule64函数
    );

对于第三个参数如果为False,那么SymInitialize只是创建一个符号处理器,不加载任何模块的调试符号,此时需要我们自己调用SymLoadModule64函数来加载模块;如果为TRUE,SymInitialize会遍历进程的所有模块,并加载其调试符号,所以在这种情况下hProcess必须是一个有效的进程句柄。

SymLoadModule64

装载指定模块的符号表

DWORD64
IMAGEAPI
SymLoadModule64(
    __in HANDLE hProcess,       //保证和SymInitialize参数1相同
    __in_opt HANDLE hFile,      
    __in_opt PCSTR ImageName,   //文件路径
    __in_opt PCSTR ModuleName,  //可选参数
    __in DWORD64 BaseOfDll,     //模块基地址
    __in DWORD SizeOfDll        //文件大小
    );
参数二 传递NULL说明不使用文件句柄。一个文件句柄。MSDN说第二个参数多被调试器程序使用,调试器可以传递从debugging event中获取到的句柄值。

SymEnumSymbolsW

BOOL
IMAGEAPI
SymEnumSymbolsW(
    __in HANDLE hProcess,           //和之前一样,不多说
    __in ULONG64 BaseOfDll,         //SymLoadModule64的返回值
    __in_opt PCWSTR Mask,           //字符串,只有名称与该字符串匹配的符号才会被枚举,在字符串中允许使用通配符*和?,我们代码这里传NULL
    __in PSYM_ENUMERATESYMBOLS_CALLBACKW EnumSymbolsCallback,//对于每个被枚举的符号都会调用该函数
    __in_opt PVOID UserContext      //用于EnumSymbolsCallback的参数,我们代码里传递的NULL
    );

回调函数EnumSymbolsCallback

typedef BOOL
(CALLBACK *PSYM_ENUMERATESYMBOLS_CALLBACKW)(
    __in PSYMBOL_INFOW pSymInfo,        //指向PSYMBOL_INFO结构的指针,提供关于符号的信息
    __in ULONG SymbolSize,              //符号大小
    __in_opt PVOID UserContext          //可选参数
    );

返回值:

If the function returns TRUE, the enumeration will continue.

If the function returns FALSE, the enumeration will stop.

转载于:https://www.cnblogs.com/Lnju/p/5413868.html

weixin_30553837
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
createDebug_内核逆向_自调试体系_
10-01
调试体系
学习调试体系(三)
weixin_30551947的博客
04-20 419
这部分是讲释放在OD插件中的资源文件,也就是一个驱动,然后安装驱动、卸载驱动的过程。主要关注点放在安装、卸载者部分代码上。 安装、启动服务 总结大致步骤如下: 获得服务控制管理器句柄(OpenSCManager) 获得服务句柄(CreateService) 如果CreateService失败,使用OpenService再次获得服务句柄 StartService // // 安装服务 // BO...
VT_demo 编译修复_反调试_DEMO_VT_demo_VT_自调试体系_
09-29
基于VT技术的自调试体系框架
学习调试体系(五)
weixin_30471065的博客
04-20 389
重载内核 具体代码有点长,记下思路备查。大致思路: NT内核从磁盘装载到内存 重定位 修复导入表 修正内核SSDT 删除PE头 接下来hook kifastcallEntry函数,用的方法也和之前的重载内核那篇代码分析的方法一致,就不分析了。 转载于:https://www.cnblogs.com/Lnju/p/5414730.html...
学习调试体系(四)
weixin_30263073的博客
04-20 316
这部分ring3和ring0通信,感觉也是实用的套路,先总结大致思路: hook NtTerminateProcess函数 有TerminateProcess请求到来时,判断参数二是否为固定常数(密钥),不是的话走原函数调用 如果参数二是约定好的密钥,参数一作为约定好的结构指针 读取ring3传来的数据,读取数据,执行约定函数 SSDT hook NTSTATUS DbgObjHookNtTe...
绕过DebugPort清零自调试体系
haodawei123的博客
03-16 3017
g_DebugPort是个全局变量通过NtCreateDebugObject来创,在进程的回调句柄里面,然后将
VT虚拟化技术,VT驱动调试器,自调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
最新发布
04-27
vt框架使用的airhv,增加了自调试体系部分 ept hook. 无痕int3. 自调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel ...
ApexDebug_apex反调试源码_apexdebug_自调试_
10-03
"自调试体系"是指项目不依赖于现有的调试框架,而是构了一套独立的调试环境。这可能包括了定制的调试接口、异常处理机制以及调试信息的加密传输等,旨在提供更安全、更灵活的调试防护。 【标签】中的"apex反...
ARM技术与ARM体系结构PPT学习教案.pptx
10-06
例如,ARM7TDMI中的"T"表示支持16位Thumb指令集,"D"代表支持JTAG调试,"M"表示包含快速乘法器,而"I"则表示内了嵌入式追踪宏单元(ETM)以支持调试。 ARM架构的不同系列如ARM7、ARM9、ARM11、Cortex等,代表了...
cocos2dx3D学习.zip
02-09
9. **调试工具**:内调试工具帮助开发者定位和修复代码问题,提高开发效率。 10. **物理引擎**:集成的物理引擎,如Box2D或 Chipmunk,用于模拟游戏中的物理行为。 在压缩包中的"cocos2dx3D学习"可能包含的...
XjunDbg调试
10-08
OD动态调试器过检测个人版本,xiaojun大牛个人版调试
服务器调试,Mac简单实现服务器搭(本地)与iOS调试
weixin_39801613的博客
07-29 252
本人也是小菜鸟一枚,有时候服务器比较忙,有的数据没办法测试,程序有时候无法联调,于是乎找到了相关的一些文章进行了本机服务器搭,容易上手,话不多说,开始吧。一、下载一个jar包点击链接下载服务器端【moco服务端】二、简单的测试1.在桌面立一个文件夹,将刚刚下载的jar包拖进去2.创一个json文件testServe在teseServe.json文件中写入【注意不要使用文本编辑器打开编辑,会有...
win32自调试输出窗口
zhang1chao5的专栏
07-28 1248
void logoutput( const char * lpszFormat, ... ) { #ifdef _DEBUG va_list argList; va_start( argList, lpszFormat ); char chInput[512] = {0}; vsprintf( chInput, lpszFormat, argList ); va_end(arg
C语言造自己的调试信息系统
老五的作坊
01-04 464
BCM SDK输出错误信息的方法   1: soc_cm_debug(DK_ERR, ("Port %s: soc_link_fwd_set failed: %s\n SOC_PORT_NAME(unit, port), bcm_errmsg(rv)));   DK_ERR: 可以这样设置, 全局静态变量 my_debug 可以设置标志位,不同级别的调试信息。如下: #define D
自实现API, 过所有用户层HOOK
收集学习过程中对自己有帮助的牛人文章
12-10 1679
//绕过用户层HOOK,自实现API函数 //学习了郁金香驱动教学视频 043_绕过所有用户层HOOK(郁金香绕过的是FindWindow) //用相同的原理我实现了绕过SendMessageA() //实现过程中有一些感谢一并记录 //win xp x86 //__declspec(naked)作用: 生成纯汇编 #include #include //7C92E4F0 > 8BD4
用symbol来获得ShadowSSDT的原始地址和函数名
weixin_34005042的博客
08-14 325
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。 个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创一张表,何乐而不为。^_^ 这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。 ...
[Win32]一个调试器的实现(十)显示变量
weixin_30484247的博客
04-22 121
上回介绍了微软的符号模型,有了这个基础知识,这回我们向MiniDebugger中添加两个新功能,分别是显示变量列表和以指定类型显示内存内容。显示变量列表用于列出当前函数内的局部变量或者全局变量;以指定类型显示内存内容用于读取指定地址处的内存内容,然后将这些二进制数据按照类型的格式解析成可读的内容并显示出来。如下面的截图所示: 使用lv命令显示局部变量时,每一列从左到右分别是:...
使用StackWalker类打印当前运行堆栈信息
生活需要深度
09-07 971
备注:如果需要具体拿到字符串数据,用子类,重写OnOutput函数即可。之前一直找这个找不到,从git上找到了StackWalker类分享。
解决无法定位程序输入点SymEnumSymbols于动态链接库dbghelp.dll
weixin_34258838的博客
10-03 699
作者:朱金灿来源:http://blog.csdn.net/clever101 下载一个源码,使用VS2008编译链接无问题,运行时出现一个错误:无法定位程序输入点SymEnumSymbols于动态链接库dbghelp.dll,具体如下图: 于是调试时观察输出窗口,发现了问题,原来程序加载的是system32目录下的db...
深度学习神经网络训练问题解决和经验指南
10-14
文章的初衷源自于作者观察到在深度学习领域,大部分时间(80-90%)都花在了调试和模型优化上,而只有10-20%的时间用于理论推导和实现新功能,这表明深度学习模型训练中的问题解决是相当关键且普遍的挑战。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值