3.调试事件的处理

最新推荐文章于 2023-07-03 22:41:18 发布
最新推荐文章于 2023-07-03 22:41:18 发布
阅读量1k 收藏 3
点赞数
分类专栏: 软件调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42052102/article/details/83654371
版权
本文介绍了调试器如何处理事件,包括进程创建过程、调试器附加以及杜撰的调试消息。在进程创建过程中,讲解了CreateProcess()和ntdll的特殊性。调试器通过循环检查EventList处理调试事件,并分析了调试器附加后如何获取已执行完的信息。文章还探讨了附加进程时收到的假调试消息,以及其目的在于为调试器提供必要的模块信息。最后,强调了事件、系统断点和ContinueDebugEvent函数的重要性。
摘要由CSDN通过智能技术生成

在这里插入图片描述

调试器会有一个循环一直判断EventList有没有调试事件有就取出来处理。

调试器创建形式

  1. 关联调试器与被调试器进程
  2. 调试循环

每一种收集调试事件API都不一样,是因为它要收集调试事件的类型是不一样的。

在这里插入图片描述

这是异常要收集的调试事件
typedef struct _EXCEPTION_DEBUG_INFO {
   
    EXCEPTION_RECORD ExceptionRecord;
    DWORD dwFirstChance;
} EXCEPTION_DEBUG_INFO, *LPEXCEPTION_DEBUG_INFO;

这是创建线程要收集的调试事件
typedef struct _CREATE_THREAD_DEBUG_INFO {
   
    HANDLE hThread;
    LPVOID lpThreadLocalBase;
    LPTHREAD_START_ROUTINE lpStartAddress;
} CREATE_THREAD_DEBUG_INFO, *LPCREATE_THREAD_DEBUG_INFO;
.....
.....

下面代码就类似拖拽程序到OD的框架。(W10记得以管理员身份运行VS)

#define dbgProcessName L"C:\\Users\\Administrator\\Desktop\\012.exe"

int main()
{
   
	BOOL nIsConinue = TRUE;
	DEBUG_EVENT debugEvent = {
    0 };
	
	//1.创建调试进程
	STARTUPINFO startupInfo = {
    0 };
	PROCESS_INFORMATION pInfo = {
   0};
	GetStartupInfo(&startupInfo);
	
	BOOL bRet = CreateProcess(dbgProcessName,NULL,NULL,NULL,TRUE,DEBUG_PROCESS||DEBUG_ONLY_THIS_PROCESS,NULL,NULL,&startupInfo,
最低0.47元/天 解锁文章
My classmates
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.调试事件的采集
My classmates
11-02 547
typedef struct _DEBUG_OBJECT { KEVENT EventsPresent; FAST_MUTEX Mutex; LIST_ENTRY EventList; union { ULONG Flags; struct { UCHAR DebuggerInacti...
滴水逆向软件调试
若面朝大海边竹妮春暖花开的博客
10-27 1415
一、调试对象 分为两种:创建进程和附加进程 创建进程为将未运行的程序创建进程 附加进程为将运行中的进程附加 对调试器做的事 DebugActiveProcess调用了DbgUiConnectToDbg,然后调用了ntdll.dll模块中的DbgUiConnectToDbg DbgUiConnectToDbg调用ZwCreateDebugObject,进入0环,创建_DEBUG_OBJECT...
Windows软件调试学习笔记(二)—— 调试事件的采集
qq_41988448的博客
07-28 666
软件调试学习笔记(二)—— 调试事件的采集要点回顾调试事件的种类调试事件采集函数例:分析PspUserThreadStartup例:分析PspExitThread总结 要点回顾 调试器与被调试进程通过DEBUG_OBJECT结构体建立联系。 DEBUG_OBJECT中有一个链表成员,用于记录所有调试事件。 当被调试进程产生调试事件时,调试器从链表中取出调试事件进行处理。 思考:是否所有的调试事件都会被记录到链表中? 答案:调试事件有不同种类,只有几个最关键的种类才会被记录到链表中,例如被调试进程进行文
调试子系统采集调试事件的方法和过程(1)
weixin_30776545的博客
03-08 120
软件调试的应用场景一般是: 查找程序的BUG 逆向破解 本篇文章是本人在阅读张银奎老师的 <软件调试>做的笔记. 主要阐述调试器获取到的调试事件是何时产生,如何收集的. 阅读目录 进程创建和线程创建事件的采集过程 进程和线程退出事件的采集过程 模块映射和反映射事件的采集过程 异常事件的采集 能够采集...
第五十三节 java学习——调整事件
语帆的专栏
01-20 966
调整事件(AdjustmentEvent)   调整事件包含一个事件,即adjustment_value_changed事件,当操纵滚动条改变其滑块位置时引发动作。AjustEvent的方法如下: public adjustable getadjustable() 返回引发事件的对象。 public int getValue() 返回调整事件中的当前值。 public void
R3调试清零.rar
04-05
9. **用户界面交互**:如果程序有图形用户界面,调试可能还需要关注事件驱动编程,如按钮点击、文本输入等事件处理。 10. **文件操作**:如果程序涉及到文件读写,那么确保文件操作的正确性是调试的重要部分。 ...
3.VT调试器实现单步跟踪.rar
10-20
6. **异常处理与错误捕获**:在调试过程中,异常处理和错误捕获是非常重要的。VT调试器提供对异常事件的监控,帮助开发者捕捉到运行时错误,并确定错误发生的具体位置。 7. **调试技巧与最佳实践**:除了基本操作,...
易语言处理事件模块源码.zip易语言项目例子源码下载
03-23
3. **模块化编程**:事件模块将相关的事件处理函数组织在一起,便于代码管理和重用。通过模块,可以更好地分离功能,提高代码的可读性和可维护性。 4. **易语言语法**:了解易语言的基础语法,如变量声明、控制结构...
网络调试助手NetAssist5.0.3.zip
08-01
在IT行业中,网络通信是至关重要的部分,而Netty作为一款高性能、异步事件驱动的网络应用框架,广泛应用于服务器端的开发。针对Netty的开发与测试,有一款名为“网络调试助手NetAssist”的软件,版本号为5.0.3,它为...
MATLAB调试与错误处理技巧.docx
最新发布
08-05
在使用MATLAB编程时,理解和掌握调试与错误处理技巧至关重要。本文将深入探讨如何处理不同类型的错误,提高代码的稳定性和可靠性。 首先,我们来看一下错误的分类: 1. **语法错误**:这是最常见的错误类型,通常...
Debugging Events
当蝴蝶在南半球拍了两下翅膀,它就会稍微飞高一些。
01-21 2186
原文链接:http://msdn.microsoft.com/en-us/library/windows/desktop/ms679302%28v=vs.85%29.aspx 本文链接: A debugging event is an incident in the process being debugged that causes the system to notify the
理解操作系统对程序的反馈:异常(Exception)和通知(Debug Event)【1】
uestcylg的专栏
11-01 808
<br />本小结首先介绍异常的原理和相关资料,再举例说明异常跟崩溃和调试是如何紧密联系在一起的。最后说明如何利用工具来监视异常,获取准确的信息。<br />2.3.1 异常(Exception)的方方面面和一篇字字珠玑的文章<br />异常是CPU,操作系统和应用程序控制代码流程的一种机制。正常情况下,代码是顺序执行的,比如下面两行:<br />*p=11;<br />printf(“%d”,*p);<br />这里应该会打印出11。 但若p指向的地址是无效地址呢?那么这里对*p赋值的时候,也就是CPU向
理解操作系统对程序的反馈:异常(Exception)和通知(Debug Event)【2】
uestcylg的专栏
11-01 961
2.3.3 通知(Debug Event)是操作系统跟调试器交流的一种方法通知,也叫做调试信息(Debug Events),是操作系统在某些事件发生的时候,通知调试器的一个手段。跟异常处理相似,操作系统在某些事件发生的时候,会检查当前进程是否有调试器加载。如果有,就会给调试器发送对应的消息,以便使用调试器进行观察。跟异常不一样的地方就是,只有调试器才会得到通知,应用程序本身是得不到的。同时调试器得到通知后不需要做什么处理,没有1st /2nd chance的差别。在Windbg帮助文件的Controllin
LOAD_DLL_DEBUG_EVENT取DLL名称
谢绝留言与私信
08-03 1286
前言msdn上说, 当(dbgEvent.dwDebugEventCode == LOAD_DLL_DEBUG_EVENT)时, 如果要取DLL名称. 要 判断 以下条件 pInfo = &dbgEvent.u.LoadDll; if ((NULL != pInfo) && (NULL != pInfo->lpImageName) && (NULL != (DWORD)(pInfo->lpIm
01-调试器框架
https://www.yuque.com/onlyxiu-123com
07-03 809
如何知道程序被调试?使用是一个 Windows API 函数,用于检查当前进程是否被调试调试。您可以在程序中调用这个函数并检查返回值,如果返回值为非零,则表示程序正在被调试调试。使用异常处理调试器通常会截获程序中的异常并处理它们,以便提供调试功能。您可以在程序中设置一个会引发异常的操作,例如除以零,然后在异常处理过程中检查异常是否被调试器截获。如果异常未被截获,那么程序可能正在被调试调试。检查调试寄存器:某些调试器会使用调试寄存器(例如 DR0-DR7)来监视程序的内存访问或执行。
Win32调试API原理
hackwaly的专栏
03-26 4246
  来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的修改,包括进程的内存、线程的
[Win32]一个调试器的实现(三)异常
zhangyanquen的技术专栏
12-10 930
这回接着处理上一篇文章留下的问题:如何处理EXCEPTION_DEBUG_EVENT这类调试事件。这类调试事件调试器与被调试进程进行交互的最主要手段,在后面的文章中你会看到调试器如何使用它完成断点、单步执行等操作。所以,关于这类调试事件处理很自由,调试器的作者可以根据需要进行不同的处理。但是,在对其进行处理之前必须要了解一些关于异常的知识,这也是本文的重点。(本文的内容参考了《软件调试》一书)
处理关键的调试事件
乱七八糟の中转站
08-30 589
EXCEPTION_DEBUG_EVENT调试事件调试器和debugee交互的重要手段,通过处理EXCEPTION_DEBUG_EVENT调试事件可以完成常规的断点、单步执行等操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值