win10 -->DbgkpSendApiMessage

最新推荐文章于 2025-05-31 19:41:15 发布
最新推荐文章于 2025-05-31 19:41:15 发布
阅读量140 收藏
点赞数 3
分类专栏: 内核学习 文章标签: windows c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43751677/article/details/143929158
版权 
NTSTATUS __fastcall DbgkpSendApiMessage(PEPROCESS DebugedProcess, ULONG Flags, PDBGKM_APIMSG apiMsg)
{
   
    NTSTATUS Status;
    //不记录etw
    do
    {
        BOOLEAN SuspendProcess = FALSE;
        if ((DebugedProcess == PsGetCurrentProcess()) && ((Flags & 0x1) != 0))
        {
            //挂起目标进程,成功返回1,失败返回0
            SuspendProcess = DbgkpSuspendProcess(DebugedProcess);
        }
        apiMsg->ReturnedStatus = STATUS_PENDING;
        Status = DbgkpQueueMessage(DebugedProcess,
            PsGetCurrentThread(),
            apiMsg,
            (Flags & 2) << 5,
            NULL);
        if (SuspendProcess)
        {
            //如果挂起成功,恢复目标进程
            PsThawProcess(DebugedProcess, FALSE);//这里将KernelApcDisable-1
            KeLeaveCriticalRegion();//这里会+1
        }
        //如果消息队列失败就跳出循环
        //如果消息成功,但是返回值是DBG_REPLY_LATER,继续循环
    } while (NT_SUCCESS(Status) && apiMsg->ReturnedStatus == DBG_REPLY_LATER);
    return Status;
}
欢迎指教

中断和异常
u012138730的专栏
05-10 3343
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
2.调试事件的采集
My classmates
11-02 590
typedef struct _DEBUG_OBJECT { KEVENT EventsPresent; FAST_MUTEX Mutex; LIST_ENTRY EventList; union { ULONG Flags; struct { UCHAR DebuggerInacti...
【系统篇】从int 3探索Windows应用程序调试原理
weixin_30300225的博客
09-28 281
探索调试器下断点的原理   在Windows上做开发的程序猿们都知道,x86架构处理器有一条特殊的指令——int 3,也就是机器码0xCC,用于调试所用,当程序执行到int 3的时候会中断到调试器,如果程序不处于调试状态则会弹出一个错误信息,之后程序就结束。使用VC开发程序时,在Debug版本的程序中,编译器会向函数栈帧中填充大量的0xCC,用于调试使用。因此,经常我们的程序发生缓冲区...
软件调试详解
hongduilanjun的博客
05-31 2246
首发于奇安信攻防社区:https://forum.butian.net/share/1478在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系调试器和被调试程序调试器与被调试程序之间建立起联系的两种方式CreateProcessDebugActiveProcess首先看一下调用的再调用通过调用号进入0环进入0环创建结构体 然后到里面看一下然后调用了创建结构返回句柄再回到,当前线程回0环创
Windows软件调试学习笔记(二)—— 调试事件的采集
lzyddf的博客
07-28 809
软件调试学习笔记(二)—— 调试事件的采集要点回顾调试事件的种类调试事件采集函数例:分析PspUserThreadStartup例:分析PspExitThread总结 要点回顾 调试器与被调试进程通过DEBUG_OBJECT结构体建立联系。 DEBUG_OBJECT中有一个链表成员,用于记录所有调试事件。 当被调试进程产生调试事件时,调试器从链表中取出调试事件进行处理。 思考:是否所有的调试事件都会被记录到链表中? 答案:调试事件有不同种类,只有几个最关键的种类才会被记录到链表中,例如被调试进程进行文
Windows软件调试学习笔记(五)—— 软件断点&内存断点
lzyddf的博客
08-05 2298
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2510
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
DbgkForwardException
weixin_43751677的博客
11-29 127
【代码】BOOLEAN DbgkForwardException( IN PEXCEPTION_RECORD64 ExceptionRecord, IN BOOLEAN DebugException,
内核反调试
liuhaidon1992的博客
01-08 1468
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
线程的创建过程
weixin_30916125的博客
07-16 586
由于这两天在研究调试机制,所以记录下被调试线程的创建过程,如果哪里有遗漏,以后会再补充 线程创建过程分为两部分:    第一部分:CreateThread->NtCreateThread->PspCreateThread->KeInitThread->KiInitializeContextThread->KiThreadStartUp    ...
DbgkpQueueMessage x64逆向 win7 &win10
weixin_43751677的博客
07-04 287
第9章 用户态调试模型
weixin_30680385的博客
01-04 172
采集调试信息作用:为了获取到与调试有关的系统动作,内核部分会调用子系统公开的一系列函数,让调试器得到通知和处理的机会. 这些函数以DbgK开头.(不是Dbgkp,p代表内部过程). 消息常量 代码 typedefenum_DBGKM_APINUMBER{DbgKmException=0;//异常DbgKmC...
聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。
YoungBoz的专栏
04-17 4718
 这个系列计划分为上下两部,上部是内置型辅助,下部是按键型辅助。我不保证会写完。 聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。 相对以前那些裸奔游戏,现在的新游戏多少都会有些保护,这是绕不过去的坎。 下面针对我发现的几个保护方法,逐个的聊一聊。 1、R3应用层下,DebugActiveProcess 加载调试器时,会设置一个远程断点,而这个远程断点其实多此一举,反而有时会
反 DebugAPI 调试?
小喂的专栏
05-04 1948
利用 DebugAPI 调试程序时,系统通过 DbgkForwardException 函数给调试器发送异常等消息。DbgkForwardException 函数又会调用 DbgkpSendApiMessage 函数给调试对象发送调试消息。DbgkpSendApiMessage 再调用 DbgkpQueueMessage 函数把调试消息插入到调试对象的事件队列里面,插入前先获取一个 DbgkpPr
Spring Boot 启动流程深度解析:从源码到实践
三两肉的博客
05-28 1316
本文深入解析了Spring Boot的启动流程,从源码层面剖析了其核心机制。启动入口从@SpringBootApplication注解的main方法开始,通过SpringApplication.run()方法执行初始化,推断应用类型并加载初始器和监听器。run()方法的核心逻辑包括:准备环境、创建上下文、刷新上下文、发布启动事件等关键步骤。Spring Boot通过事件机制在不同启动阶段发布事件,允许开发者介入。文章通过详细代码示例展示了SpringApplication初始化、环境准备和上下文创建等核心流
java 递归地复制文件夹及其所有子文件夹和文件
Java&Develop的博客
05-28 567
java 递归地复制文件夹及其所有子文件夹和文件
进程同步机制-信号量机制-记录型信号量机制中的的wait和signal操作
全局可见
05-29 685
wait和signal是记录型信号量机制中用于实现进程同步与互斥的两个重要操作,
嵌入式(C语言篇)Day13
最新发布
h2358129875的博客
05-31 924
结构组成:由LinkedList结构体管理head(头指针)、tail(尾指针)、size(节点数),每个Node包含data(数据)和next(后继指针)。核心操作:涵盖创建、销毁、遍历、增删查等,操作时需注意头/尾节点特殊情况(如首个节点需同时更新head和tail面试题关键思路时间复杂度空间复杂度求中间结点快慢指针法(单次遍历)O(n)O(1)判断是否有环快慢指针法(相遇即有环)O(n)O(1)反转链表三指针迭代反转(prev、curr、succ)O(n)O(1)
Stream流
2402_85679719的博客
05-28 766
Stream流是jdk8开始新增的一套API,可以用于操作集合或者数组的数据Stream优势:Stream流大量的结合了Lambda的语法风格来编辑,功能强大,代码简洁,可读性好。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值