调试器与被调试进程的拆离以及结束被调试进程的实现

最新推荐文章于 2021-07-22 19:55:11 发布
最新推荐文章于 2021-07-22 19:55:11 发布
阅读量1.2k 收藏 5
点赞数 2
文章标签: window 调试器 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43956962/article/details/106720214
版权

文章目录

网上很多帖子讲解调试器的理论、架构与实现,但是很少有帖子涉及到调试器与被调试进程的拆离以及如何结束被调试进程(换了百度、谷歌、必应均没有搜到相关的帖子)
我在这里简单说一下实现

拆离调试器与被调试进程

调用windowsAPI DebugActiveProcessStop 停止调试器调试指定的进程

BOOL DebugActiveProcessStop(
  DWORD dwProcessId
);

参数进程ID 可以在调试器创建进程时调用 CreateProcess 的最后一个参数 lpProcessInformation 中记录
创建完成调试进程后,别忘记调用 CloseHandle 关闭 lpProcessInformation 中的 进程与线程句柄

BOOL CreateProcessW(
  LPCWSTR               lpApplicationName,
  LPWSTR                lpCommandLine,
  LPSECURITY_ATTRIBUTES lpProcessAttributes,
  LPSECURITY_ATTRIBUTES lpThreadAttributes,
  BOOL                  bInheritHandles,
  DWORD                 dwCreationFlags,
  LPVOID                lpEnvironment,
  LPCWSTR               lpCurrentDirectory,
  LPSTARTUPINFOW        lpStartupInfo,
  LPPROCESS_INFORMATION lpProcessInformation
);
typedef struct _PROCESS_INFORMATION {
  HANDLE hProcess;
  HANDLE hThread;
  DWORD  dwProcessId;
  DWORD  dwThreadId;
} PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCESS_INFORMATION;

拆离调试器与被调试进程别忘记修复断点,调用 ContinueDebugEvent 继续执行被调试线程

BOOL ContinueDebugEvent(
  DWORD dwProcessId,
  DWORD dwThreadId,
  DWORD dwContinueStatus
);

调试器退出时拆离被调试进程

windows默认调试器退出时终止被调试进程,
我们可以调用 DebugSetProcessKillOnExit 参数传入FALSE,来修改调试器退出时要执行的操作
可以多次调用此函数以根据需要更改操作

BOOL DebugSetProcessKillOnExit(
  BOOL KillOnExit
);

KillOnExit 如果为TRUE,则线程将在退出时终止所有附加进程(请注意,这是默认设置);
KillOnExit 如果为FALSE,线程将与退出时正在调试的所有进程分离。

结束被调试进程

被调试进程只有与被调试进程拆离后,才可以正常的结束
调用 TerminateProcess 终止指定的进程及其所有线程

BOOL TerminateProcess(
  HANDLE hProcess,
  UINT   uExitCode
);
/* 例:*/
TerminateProcess(OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID), 0);
随心动,随风行
关注
从Laravel拆离出的集合PHP库.zip
07-11
Eloquent原生支持Fluent中查询构造器(query-builder)的所有方法。<?php namespace Illuminate\Tests\Support; use stdClass; use ArrayAccess; use Mockery as m; use ReflectionClass; use Json...
一段基本的X86调试程序
Home Of HappyBear
01-10 1134
Microsoft提供了一种用于Windows的相对比较容易使用的调试API。这种API允许使用简单的循环,从处于用户态的程序访问调试事件。下面是一个简单的结构: DEBUG_EVENT dbg_evt;m_hProcess = OpenProcess( PROCESS_ALL_ACCESS | PROCESS_VM_OPERATION,0,mPID);if(m_hProcess == NULL)
结束进程的12种方法
diaowei9599的博客
01-07 1371
方法一针对有窗口的 消息攻击法 void main(int argc, char **argv) { HWND hwnd = FindWindow(NULL, "Title"); SendMessage(hwnd,WM_CLOSE,0,0); HWND hwnd = FindWindow(NULL, "Title"); SendNotifyMessage(hwn...
Windows API(二)进程
David
03-25 1508
进程常被定义为应用程序的一个运行实例。在Win32中,每个进程拥有4GB的地址空间。进程是惰性的,Win32进程什么也不执行,它只是拥有4GB的地址空间来存放应用程序所需的二进制代码和数据。 除地址空间外,每个程序还拥有别的资源,比如文件、动态内存分配和线程。这些不同的资源在进程的生命中被创建,当进程终止时,它们也被释放。 每个线程有自己的CPU寄存器组和栈。操作系统为每个独立的线程进行CPU的时...
vs中的全部分离
jerry的博客
07-22 557
vs中有一个附加到进程,就是进行两个进程合并调试 分离调试和其相反
[Win32]一个调试器实现(一)调试事件与调试循环
weixin_30466039的博客
03-04 189
前言 程序员离不开调试器,它可以动态显示程序的执行过程,对于解决程序问题有极大的帮助。如果你和我一样对调试器的工作原理很感兴趣,那么这一系列文章很适合你,这些文章记录了我开发一个调试器雏形的过程,希望对你有帮助。或许我写的代码很拙劣,还请大家多多见谅! 这个调试器使用Visual Studio 2010作为开发工具,是一个控制台程序。为了简化,一切输入输出都使用C++标准库的相...
拆离断层带中的构造成矿作用
05-19
描述了拆离断层带中的构造成矿作用,对新的构造应力场进行了分析
行业资料-交通装置-一种可拆离防滑汽车踏板.exe
08-15
行业资料-交通装置-一种可拆离防滑汽车踏板.exe
lotus拆离附件到本地目录lotusscript
02-16
本文档提供了使用LotusScript实现从Lotus Notes数据库中拆离附件到本地目录的功能介绍。通过具体代码示例,不仅展示了如何利用LotusScript与Notes API进行交互,还深入分析了其中涉及的重要知识点和技术细节。这对于...
电子功用-可拆离的一体式混合电池
09-15
5. **安全性与环保**:讨论了这种混合电池在安全性和环保方面的考虑,如防短路机制、材料可回收性以及对环境的影响。 6. **应用领域**:列出了可拆离一体式混合电池可能广泛应用于的领域,如智能手机、笔记本电脑、...
易语言OD剥离进程源码-易语言
06-13
易语言OD剥离进程源码
HideToolz(隐藏进程的工具,可用于隐藏调试器进程..)
10-30
HideToolz --------------------------- HideToolz (ultimate crackers tools hider) ------------- HideToolz is intended for hiding crackers tools from different protection trying define their presence. 1) Hiding processes from all possible ring3 methods of the finding. 2) Hiding windows from enumeration and searching for on the known name. 3) Protection processes from opening on the known pid (as well as from indirect methods of the opening). 4) Parental process emulation (for all visible processes runned from hidden, will be emulated parental process explorer.exe) 5) Protection from rebooting windows (and log all rebooting attempts). 6) Protection from formatting the disk (and log all formatting attempts). Attention: access of the hidden processes unrestricted, and they can see the real system state. For impossibility of the finding HideToolz file on disk, is recommended rename file and pack its any packer. 经常用来隐藏OllyIce进程实现反反调试
Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术
weixin_33869377的博客
02-02 1033
catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动...
Debug API 硬件断点实现 补丁程序
qffhq 点积
08-28 1528
Debug API 硬件断点实例,两个断点,修改寄存器的值,以及EBP-xx指向的内存数据 #include #include #include HINSTANCE GhInstance; STARTUPINFO gstStartUp; PROCESS_INFORMATION gpsInfo; DEBUG_EVENT gDBEvent; CONTEXT gC
结束进程方法
wxdvc的专栏
12-08 4444
方法一针对有窗口的消息攻击法void main(void){   HWND hwnd = FindWindow(NULL, "sai";   SendMessage(hwnd,WM_CLOSE,0,0);//PostMessage(hwnd,WM_CLOSE,0,0);//SendMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0);//PostMessage(hwnd,W
调试器学习
weixin_30314793的博客
11-05 121
#include "stdafx.h" #include <stdlib.h> #define WINVER 0x0501 #include <windows.h> BOOL DbgNewProcess( LPTSTR szCmdLine) { STARTUPINFO StartupInfo; PROCESS_INFORMATION ...
Debugging Functions
当蝴蝶在南半球拍了两下翅膀,它就会稍微飞高一些。
01-23 1293
Unicode下TRACE中文(_CrtDbgReport: String too long or IO Error)
Beyond.cn
07-10 4520
在使用Unicode的工程项目中,如果是Debug模式。 当TRACE Unicode 中文字符串时,会输出提示:_CrtDbgReport: String too long or IO Error 有两种方法来解决这个问题 方法一:直接使用 OutputDebugString 替换 TRACE 相关说明: 函数原型:void OutputDebugString(LP
通过写代码,attach程序中创建的其他进程,将其加入VS的Debugger,以方便调试
sunshineboyleng的专栏
07-06 1832
vs debugger attach DebugActiveProcess
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值