第9章 用户态调试模型

最新推荐文章于 2021-08-05 19:55:44 发布
最新推荐文章于 2021-08-05 19:55:44 发布
阅读量122 收藏
点赞数
原文链接:http://www.cnblogs.com/zl20857607/archive/2010/01/04/1636614.html
版权

采集调试信息
作用:为了获取到与调试有关的系统动作,内核部分会调用子系统公开的一系列函数,让调试器得到通知和处理的机会.

       这些函数以DbgK开头.(不是Dbgkp,p代表内部过程).

消息常量

ExpandedBlockStart.gif 代码
typedef  enum  _DBGKM_APINUMBER
{
    DbgKmException  =   0 ;                     // 异常
    DbgKmCreateThreadApi  =   1 ;             // 创建线程
    DbgKmCreateProcess  =   2 ;                 // 创建进程
    DbgKmExitThread  =   3 ;                 // 线程退出
    DbgKmExitProcess  =   4 ;                 // 进程退出
    DbgKmLoadDllApi  =   5 ;                 // 映射DLL
    DbgKmUnloadDllApi  =   6 ;                 // 反映射DLL
    DbgKmErrorReportApi  =   7 ;             // 内部错误
    DbgKmMaxApiNumber  =   8 ;                 // 这组常量的最大值
}DBGKM_APINUMBER;

 

 

进程和线程创建消息

    在
    PspUerThreadStartup(...)

    {

      DbgkCreateThread(...)

      if(Debug_port)

      {

        //检查用户态时间,判断是否是第一个线程

        DbgKpSendApiMessage();

      }  

    }

 

进程和线程退出消息

  PspExitThread --> DbgkExitThread -->(最后一个线程) DbgkExitProcess --> DbgkpSendApiMessage

 

模块映射和反映射消息 

  ZwMapViewOfSection --> DbgkMapViewOfSection -->  DbgkpSendApiMessage      

  ZwMapViewOfSection --> DbgkUnmapViewOfSection --> DbgkpSendApiMessage

异常消息

  KiDispatchException 分发异常 --> DbgForwardException --> DbgkpSendApiMessage

 

PS:所有消息都经过DbgkpSendApiMessage发出,通过HOOK DbgkpSendApiMessage函数监视消息,也许可以检测进程是否正在被调试.

 

    

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/zl20857607/archive/2010/01/04/1636614.html

weixin_30680385
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2153
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
软件调试详解
hongduilanjun的博客
05-31 2133
首发于奇安信攻防社区:https://forum.butian.net/share/1478在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系调试器和被调试程序调试器与被调试程序之间建立起联系的两种方式CreateProcessDebugActiveProcess首先看一下调用的再调用通过调用号进入0环进入0环创建结构体 然后到里面看一下然后调用了创建结构返回句柄再回到,当前线程回0环创
WRK中全部访问DebugPort的函数总汇。
yeook的专栏
07-24 1289
KiDispatchException        //1处NtQueryInformationProcess      //1处PspCreateProcess        //1处PsGetProcessDebugPort      //1处PsIsProcessBein
中断和异常
u012138730的专栏
05-10 3045
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
Hide your DebugPort in ring0
老裴
03-16 1742
标 题: 【原创】Hide your DebugPort in ring0作 者: wowelf时 间: 2009-01-26,11:00链 接: http://bbs.pediy.com/showthread.php?t=80971一个程序被ring3调试调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROC
第13 图形用户接口-教程与笔记习题
05-19
在本“第13 图形用户接口-教程与笔记习题”中,我们将深入探讨在ARM9嵌入式系统设计中至关重要的图形用户接口(GUI)的概念、设计原则和实现方法。ARM9处理器是广泛应用在嵌入式领域的32位微处理器,其高效的...
第九挑战练习
12-21
以上就是《Android 编程权威指南》第九挑战练习的主要内容。通过这些练习,开发者不仅可以掌握Android应用开发的基础,还能深入理解Android系统的特性和最佳实践,从而成为一名更出色的Android开发者。
第14 创建图形用户界面GUI9.zip
04-26
在"第14 创建图形用户界面GUI9.zip"中,可能包含了创建GUI的源代码示例,如"a9.txt"文件,这可能是一个MATLAB脚本或函数,用于实现特定的GUI功能。 创建GUI的第一步是打开GUIDE,创建一个新的GUI布局。在这里,你...
LSDYNA输出控制分析和调试.ppt
10-08
主要探讨的是如何进行LSDYNA的输出控制、分析和调试,这对于理解和优化模拟结果至关重要。 在LSDYNA中,输出控制涉及对计算过程中产生的数据进行选择和格式化,以便于后续的后处理和结果分析。输出文件主要包括...
Swift-模型调试
最新发布
05-01
本文将深入探讨如何有效地调试Swift模型,帮助开发者定位并解决问题。 一、断点调试 断点是调试中最基础的工具。在Swift代码中,你可以在可能出错或需要检查的地方设置断点。当程序执行到断点行时,它会暂停,让你...
【系统篇】从int 3探索Windows应用程序调试原理
weixin_30300225的博客
09-28 230
探索调试器下断点的原理   在Windows上做开发的程序猿们都知道,x86架构处理器有一条特殊的指令——int 3,也就是机器码0xCC,用于调试所用,当程序执行到int 3的时候会中断到调试器,如果程序不处于调试则会弹出一个错误信息,之后程序就结束。使用VC开发程序时,在Debug版本的程序中,编译器会向函数栈帧中填充大量的0xCC,用于调试使用。因此,经常我们的程序发生缓冲区...
内核反调试
liuhaidon1992的博客
01-08 1316
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
Windows软件调试学习笔记(二)—— 调试事件的采集
qq_41988448的博客
07-28 664
软件调试学习笔记(二)—— 调试事件的采集要点回顾调试事件的种类调试事件采集函数例:分析PspUserThreadStartup例:分析PspExitThread总结 要点回顾 调试器与被调试进程通过DEBUG_OBJECT结构体建立联系。 DEBUG_OBJECT中有一个链表成员,用于记录所有调试事件。 当被调试进程产生调试事件时,调试器从链表中取出调试事件进行处理。 思考:是否所有的调试事件都会被记录到链表中? 答案:调试事件有不同种类,只有几个最关键的种类才会被记录到链表中,例如被调试进程进行文
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 1951
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。
YoungBoz的专栏
04-17 4432
 这个系列计划分为上下两部,上部是内置型辅助,下部是按键型辅助。我不保证会写完。 聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。 相对以前那些裸奔游戏,现在的新游戏多少都会有些保护,这是绕不过去的坎。 下面针对我发现的几个保护方法,逐个的聊一聊。 1、R3应用层下,DebugActiveProcess 加载调试器时,会设置一个远程断点,而这个远程断点其实多此一举,反而有时会
初探Windows用户调试机制
weixin_30587927的博客
07-19 124
我们在感叹Onlydbg强大与便利的同时,是否考虑过它实现的原理呢? 作为一个技术人员知其然必知其所以然,这才是我们追求的本心。 最近在学习张银奎老师的《软件调试》,获益良多。熟悉Windows调试机制,对我们深入理解操作系统以及游戏保护的原理有着莫大好处。 0X01 初探调试原理 调试系统的实现思路如图所示: 调试器与被调试程序建立联系,程序像调试器发送调试信息...
调试子系统采集调试事件的方法和过程(1)
weixin_30776545的博客
03-08 120
软件调试的应用场景一般是: 查找程序的BUG 逆向破解 本篇文是本人在阅读张银奎老师的 <软件调试>做的笔记. 主要阐述调试器获取到的调试事件是何时产生,如何收集的. 阅读目录 进程创建和线程创建事件的采集过程 进程和线程退出事件的采集过程 模块映射和反映射事件的采集过程 异常事件的采集 能够采集...
过保护 DebugPort 清零相关
weixin_33790053的博客
04-19 279
一个程序被ring3调试调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.DebugPort。DebugPort对于ring3调试器来说非常重要,没有它正常的ring3调试是无法进行的。当然要检测这个标志的前提是程序能够读取ring0内存,在XP以上的系统有个非常简单的方法...
模型计算机设计与调试:计算机组成原理课程设计
1. 数据格式:设计的模型计算机采用8位定点整数数据格式,其中第7位为符号位,表示数值的正负。数据范围为-128到127。 2. 指令系统:设计了14条指令,包括算术逻辑运算指令(如加减乘除)、数据存取指令(用于内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值