微型调试器

最新推荐文章于 2021-11-09 22:13:19 发布
最新推荐文章于 2021-11-09 22:13:19 发布
阅读量840 收藏
点赞数
分类专栏: Debug Windows 文章标签: exception null debugging thread dll output

不知道你有没有听说过OD,我们可以模仿他的思路

下int 3软件断点,然后获得线程上下文就可以了。

MSDN里面有大量的Debugging Functions,你可以去看下。下面是一段微型调试器的代码

C/C++ code 
   
   

    
    
    
    
#include 
    
    <
    
    windows.h
    
    >
    
    
#include 
    
    <
    
    stdio.h
    
    >
    
    
#include 
    
    <
    
    assert.h
    
    >
    
    


    
    int
    
     main()
{
     DEBUG_EVENT d;
     DWORD mark;
     BOOL initBP,r;
     DWORD pid;

     initBP
    
    =
    
    0
    
    ;
     printf(
    
    "
    
    set pid=? 
    
    "
    
    );
     scanf(
    
    "
    
    %d
    
    "
    
    ,
    
    &
    
    pid);
     r
    
    =
    
    DebugActiveProcess(pid); 
    
    /*
    
     开始调试 
    
    */
    
    
     assert(r);

     printf(
    
    "
    
    debugging...
    
    "
    
    );

     
    
    for
    
     (;;)
     {
         
    
    if
    
     (
    
    !
    
    WaitForDebugEvent(
    
    &
    
    d,INFINITE)) 
    
    /*
    
     等待调试事件 
    
    */
    
    
             assert(
    
    0
    
    );
         
    
    switch
    
     (d.dwDebugEventCode)
         {
         
    
    case
    
     CREATE_PROCESS_DEBUG_EVENT: 
         
    
    case
    
     EXIT_PROCESS_DEBUG_EVENT:
         
    
    case
    
     CREATE_THREAD_DEBUG_EVENT:
         
    
    case
    
     EXIT_THREAD_DEBUG_EVENT:
         
    
    case
    
     LOAD_DLL_DEBUG_EVENT:
         
    
    case
    
     UNLOAD_DLL_DEBUG_EVENT:
         
    
    case
    
     OUTPUT_DEBUG_STRING_EVENT:
         
    
    case
    
     RIP_EVENT:
             mark
    
    =
    
    DBG_CONTINUE; 
    
    /*
    
     这些事件都不需要处理,让目标直接运行 
    
    */
    
    
             
    
    break
    
    ;
         
    
    case
    
     EXCEPTION_DEBUG_EVENT:
             
    
    if
    
     (initBP) 
             {
                 mark
    
    =
    
    DBG_EXCEPTION_NOT_HANDLED; 
    
    /*
    
     没处理就是没处理
    
    */
    
    
             }
             
    
    else
    
    
             {
                 initBP
    
    =
    
    1
    
    ;
                 mark
    
    =
    
    DBG_CONTINUE; 
    
    /*
    
     初始断点要特别留意 
    
    */
    
    
             }
             
    
    break
    
    ;
         }
         
    
    if
    
     (
    
    !
    
    ContinueDebugEvent(
             d.dwProcessId,
             d.dwThreadId,mark)) 
    
    /*
    
     继续执行目标程序 
    
    */
    
    
             assert(
    
    0
    
    );
         
    
    if
    
     (d.dwDebugEventCode
    
    ==
    
    EXIT_PROCESS_DEBUG_EVENT)
             
    
    break
    
    ;
     }
     printf(
    
    "
    
    stopped/n
    
    "
    
    );

     
    
    return
    
     
    
    0
    
    ;
}




如上是直接附加到活动进程,如果我们学着OD,加载进程后,在OEP那里断下的话,用CreateProcess创建进程,标志位打上Debug标志即可,类似下面这样

C/C++ code 
   
   

    
    
    
    
STARTUPINFO   st   
    
    =
    
       {
    
    0
    
    }; 
PROCESS_INFORMATION   pro   
    
    =
    
       {
    
    0
    
    }; 
st.cb   
    
    =
    
       
    
    sizeof
    
    (st); 
CreateProcess(NULL,   
    
    "
    
    d://test.exe 
    
    "
    
    ,   NULL,   NULL,   TRUE,    
DEBUG_ONLY_THIS_PROCESS, 
NULL,   NULL,   
    
    &
    
    st,   
    
    &
    
    pro); 

CloseHandle(pro.hThread); 
CloseHandle(pro.hProcess); 
DEBUG_EVENT   dbe; 
BOOL   rc; 

    
    while
    
    (WaitForDebugEvent(
    
    &
    
    dbe,   INFINITE)) 
{ 
  
    
    if
    
    (dbe.   dwDebugEventCode 
    
    ==
    
     EXIT_PROCESS_DEBUG_EVENT) 
   
    
    break
    
    ; 
  ContinueDebugEvent(dbe.dwProcessId, dbe.dwThreadId ,DBG_CONTINUE   ); 
}    

    
    //
    
    有的代码我就略过了,在上课,不方便写很多




软件断点(INT3):对应的异常是 EXCEPTION_BREAKPOINT,处理方式为恢复代码为原来字节,并将EIP减一,并设置单步以便进入单步后重新设置这个一般断点。

那么现在要解决的问题就剩一个了,就是写入断点int3,OEP那边断下之后就要写,然后开始执行。

这个可以用WriteProcess实现,当你初次加载之后,进程虽然断下来了,但是PE已经加载进了内存空间中。
根据偏移,把int 3对应的十六进制0xCC指令写入

断下来之后,用GetThreadContext获得线程上下文就可以得到寄存器的值了

这里有些注意点,看下面的代码

C/C++ code 
   
   

    
    
    
    

    
    if
    
     (r
    
    ->
    
    ExceptionCode
    
    ==
    
    EXCEPTION_BREAKPOINT) 
    
    /*
    
     触发了断点中断 
    
    */
    
                
{              
    
    /*
    
     根据中断地点查找断点记录 
    
    */
    
                  
    bp
    
    =
    
    find(ps
    
    ->
    
    bps,MAX_BP,(DWORD)r
    
    ->
    
    ExceptionAddress);               
    
    
    if
    
     (bp) 
    
    /*
    
     是调试器安置的断点 
    
    */
    
                  
    {                
        t
    
    =
    
    find(ps
    
    ->
    
    ts,MAX_THRD,d.dwThreadId); 
    
    /*
    
     取线程上下文 
    
    */
    
                    
        memset(
    
    &
    
    ctx,
    
    0
    
    ,
    
    sizeof
    
    (ctx));                
        ctx.ContextFlags
    
    =
    
    CONTEXT_FULL;                
        f
    
    =
    
    GetThreadContext(t
    
    ->
    
    h,
    
    &
    
    ctx);                
        assert(f);                
        ctx.Eip
    
    --
    
    ;          
    
    /*
    
     将指令指针值减1 
    
    */
    
                    
        ctx.EFlags
    
    |=
    
    TF_BIT; 
    
    /*
    
     打开CPU单步标记 
    
    */
    
                   
        f
    
    =
    
    SetThreadContext(t
    
    ->
    
    h,
    
    &
    
    ctx); 
    
    /*
    
     向目标写入修改过的上下文 
    
    */
    
                    
        assert(f);                       
        ps
    
    ->
    
    write_back
    
    =
    
    bp; 
    
    /*
    
     标记该进程在单步结束后准备写回的断点 
    
    */
    
                   
        safe_write(ps
    
    ->
    
    h,bp
    
    ->
    
    addr,bp
    
    ->
    
    c); 
    
    /*
    
     写入被断点覆盖的代码 
    
    */
    
                   
        on_bp(d.dwProcessId,d.dwThreadId,bp
    
    ->
    
    addr); 
    
    /*
    
     用户处理 
    
    */
    
                            
        suspend_except(ps
    
    ->
    
    ts,d.dwThreadId); 
    
    /*
    
     挂起除异常线程外的所有线程 
    
    */
    
                   
        mark
    
    =
    
    DBG_CONTINUE;              
    }
}
wishfly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tigaDebugger::wine_glass:用于F#的微型调试器
05-15
tigaDebugger是用于F#的微型调试器。 需要 vim(版本8以上,+ python3,+ terminal) 安装 // download $ git clone --depth 1 https://github.com/callmekohei/tigaDebugger $ git clone --depth 1 ...
Unity 微型调试器 Debugger
神码编程
12-11 5497
在任意物体上挂载调试器脚本Debugger,勾选AllowDebugging开启调试,游戏启动后便会在左上角显示一个可拖动的调试器窗口。点击中间的帧率显示按钮,可以展开或收缩完整的调试器窗口。完整的调试器窗口拥有以下几项:1、Console [控制台日志]这里可以查看所有的程序运行日志,包括使用Debug.Log系列打印的日志,或是其他的未捕获异常。2、Memory [内存信息]这里可以监控整个项目
X86汇编调试环境搭建
Thinker的博客
11-09 1148
这里写自定义目录标题汇编环境搭建新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 最近毕设需要做一个基于X86的微型OS内核,一直在学习汇编,前来记录一下 汇编环境搭建 本次使用vscode搭建的,需要的插件有X86 and
微型计算机安装调试维修中级考试,微型计算机安装调试维修技能鉴定标准
weixin_40002846的博客
06-30 226
微型计算机安装调试维修技能培训和鉴定标准一.定义完成微型计算机系统的安装调试、运行管理与系统维护、故障诊断与故障排除、故障设备修复的工作技能。二.适用对象微型计算机维护、维修人员、系统管理技术人员,微型计算机硬件技术支持人员及其他需要掌握微机维修、维护操作技能的社会劳动者。三.相应等级微机系统维修员:专项技能水平达到相当于于中华人民共和国职业资格技能等级四级。独立完成微型计算机系统的板级安装、调试...
微型计算机安装调试维修中级考试,计算机安装调试与维修复习题
weixin_36435766的博客
06-30 203
复习《计算机安装调试与维修》复习题:考试内容:授课教材《微机组装与维护教程》考试题型:选择、填空、判断、名词解释、简答分析等一、选择题倍频系数是CPU和( )之间的相对比例关系。A、外频* B、主频 C、时钟频率 D、都不对在微机中,应用最普遍的字符编码是( )A、BCD码 B、ASCII码* C、汉字编码 D、补码计算机能够自动工作,主要是因为采用了( )。A....
微型嵌入式在线调试系统(一)
liangqiseu的博客
05-01 411
微型嵌入式在线调试系统(一)最近自制了一个微型嵌入式在线debug系统,主要功能是可以通过串口实时查看全局变量的值,以及手动执行代码里的函数。功能比不上仿真器强大,但是好处是脱离了仿真器,非常方便。例如程序里定义了全局变量g_usartRevBufWrIdx,只需在串口里发送字符g_usartRevBufWrIdx,就能回显出该全局变量的绝对地址和当前的值。 对于一个函数也一样,例如在程序里定义一
Xcode的调试器
北京的开始
04-22 2840
Xcode的调试器 Xcode有一个调试器调试器是位于你编写的程序和操作系统之间的程序,它能够中断你的程序,使之在运行中停止,这样你就可以检查程序的数据,甚至可以修改程序。在你完成这些后,可以恢复程序的执行并查看运行结果。你也可以单步执行代码,逐行运行程序来细致地查看你的代码会对数据进行哪些改动。 Xcode中有几处地方可以使用调试器。第一处就在文本编辑器里,通过在边列上设置断点来实
微型计算机安装调试维修中级题库,《计算机调试》(中级)试卷1附答案
weixin_28848739的博客
06-16 659
电子行业特有工种鉴定统一试卷计算机调试员中级注意事项1.请首先按要求在试卷的标封处填写您的姓名、考号和所在培训单位的名称。2.请仔细阅读各种题目的回答要求,在规定的位置填写您的答案。3.请用蓝色(或黑色)钢笔、圆珠笔答卷,不要在试卷内填写与答题无关的内容。4.考试时间90分钟。1分×30=30分)1、使用硬盘Cache的目的是( )A.增加硬盘容量B.提高硬盘读写信息的速度C.实现动态信息存储D....
picodb:一个用于 C 程序的微型调试器
07-03
数据表 C 程序的小型调试器
字母:用于Ruby的微型调试库
02-01
其他人也招聘调试器。 (也许您使用puts语句查看随时间的变化,但调试器只关注少量代码。)这些工具很好,但是它们是我们在Ruby中进行调试的最低级别。 Letters利用puts ,调试器,控制传递,计算机发出的哔哔声和...
微型调频发射模块的制作和调试
08-20
微型调频发射电路板上的电子元件话筒(咪头)MIC先将自然界的声音信号变成音频电信号,这个电信号会去调制电子振荡器产生的高频信号。最后,高频信号通过天线发射到空中。
调试仪表用蜂鸣器振动规范问题
01-20
蜂鸣器是一种简单的微型振动设备,其振动规范沿用原苏联标准。目前尚有其他飞行器制导用电气和机械仪表也在蜂鸣器上调试,而其蜂鸣器的振动也借用飞机仪表蜂鸣器的振动技术规范。当被测试仪表良好或明显超差时,蜂鸣...
名词解释微型计算机,名词解释
weixin_39560924的博客
07-17 718
微处理器:微型计算机的运算和控制的核心,又称中央处理单元CPU,是一块大规模集成电路芯片。协处理器主要帮助CPU进行浮点运算任务,可以大大提高在浮点运算时的处理效率。RAM:随机存取存储器,CPU可对RAM的内容进行随机的读写访问ROM:只读存储器,存储器的内容只能随机的读出而不能写入RT/COMS:电池支持下工作的集成电路,提供计数和存储系统配置BIOS:ROM的程序的统称指令系统:一个微处理器...
安装微型计算机(pc机),微型计算机安装调试与维修
weixin_33556941的博客
06-16 273
微型计算机安装调试与维修出版时间:2010年09月定  价:34.00I S B N :9787533746377所属分类: 考试&nbsp考试>计算机考试&nbsp标  签:其他考试计算机考试《微型计算机安装调试与维修》根据本职业的工作特点,以掌握实用操作技能和能力培养为根本出发点,围绕相应的鉴定标准和考试大纲编写而成。全书分为两篇:上篇为基础知识,共9...
multisim仿真的TL494 BOOST 升压电路
最新发布
05-27
multisim仿真电路图 multisim仿真的TL494 BOOST 升压电路,实现15V输入,转24V输出; TL494 BOOST 拓扑设计。
H3_AP202404081630040449_1.pdf
05-27
电子元件 电子行业 行业分析 数据分析 数据报告 行业报告
微型计算机声-光报警器实验汇编代码
06-09
这里提供一个基于8086微型计算机的声光报警器实验汇编代码,仅供参考: ``` ; 声-光报警器实验汇编代码 ; 使用8086微型计算机,连接LED和蜂鸣器 ; 定义IO口 LED equ 06h; LED引脚地址 Buzzer equ 05h; 蜂鸣器引脚...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值