windbg调试学习(五)

断点

 软件断点

软件断点的本质是代码改写，即：将INT 3（代码为0xCC）指令替换到断点所在指令处（第一个字节），并保存被替换掉的代码（即一个字节内容）。等执行到断点处时，调试器将因断点而中断，并将被替换的一字节内容恢复到原内存中。其原理和代码补丁是一样的。

源码或汇编模式下，最简单的断点设置方式，是定位到正确的代码处，并按下F9键。此外还有三种设置软件断点的指令，分别讲解如下：

bp：

命令bp是BreakPoint的缩写。其指令格式如下：

bp[ID] [Options] [Address [Passes]]["CommandString"]

参数Address表示需设置断点的地址，缺省情况下使用当前指令指针（EIP）的地址。ID是断点号，一般不手动设置，由调试器内部编号。Passes是一个整数值，即第几次经过断点所在代码时，调试器才需要中断执行，默认为1，即每次都中断。CommandString用来设置一组命令，当断点发生的时候，就执行这一组命令，比如可以把它设置为“k”，这样断点处就会输出当前的调用栈。

Options是一组可选开关项，有下面几种：

/1：即阿拉伯数字1。这个选项表明这个被设置的断点只会在第一次有效，此后断点信息即被删除。

/p：这个开关项后跟一个EPCOESS结构体指针，只能用在内核调试环境下。内核调试环境下，如果要把断点设置到用户程序地址（即用户空间地址），需要使用这个开关，因为用户地址是进程相关的。

/t：这个开关项后跟一个ETHREAD结构体指针，只能用在内核调试环境下。此开关项与/p起到类似的作用，只不过前者定位到进程，后者更进一步定位到线程。

/c与/C：c或者C代表CallStack（调用栈）。这两个开关项和调用栈深度有关，都后跟一个整数值。前者表示调用栈深度如果小于这个整数值，断点才会引发中断，后者表示调用栈深度如果大于这个整数值，断点才会引发中断。

bu：

此命令格式与bp类似，u代表了Unresolved。使用此命令设置的断点虽登记到调试器，但它具体对应到哪处代码或指令，尚未确定。

比如某EXE程序使用动态加载的方式加载DLL（使用函数LoadLibrary()），那么当DLL尚未加载时，就可用bu指令设置DLL中的代码断点，等到DLL加载时，调试器再正式落实此断点。

bm：

此命令用来批量设置代码断点，它带有一个通配符字符串，凡是符合通配符格式的地址都将被设置断点，如：

§  bm /a ntdll!NtCreate*File

则诸如NtCreateFile\NtCreateMailslotFile\NtCreateNamedPipeFile等函数都将被设置断点。

断点。

硬件断点

硬件断点的原理和软件断点完全不同，硬件断点是通过CPU的断点寄存器来实现的，亦即依靠硬件方式实现。由于CPU的调试寄存器数量是有限的，所以能设置的硬件断点数量也是有限的。设置硬件断点的命令是ba，a代表了Address。指令格式如下：

ba[ID] Access Size [Options] [Address [Passes]]["CommandString"]

参数ID、Options、Passes及CommandString，含义与前文bp指令相同，此处不述。

参数Address是内存地址，有别于前文的指令地址，内存地址既可以是指令地址，也可以是数据地址。缺省为当前指令寄存器地址（EIP）。参数Size表示地址长度，x86系统可选值为1、2、4，X64系统可选值为1、2、4、8。需要注意的是，Address地址必须对齐到Size，即Address值必须是Size的整数倍。参数Access是内存访问类型，有下面几种：

e：作为指令执行；r：读，或者写；w：写；i：执行IN/OUT操作。     比如：

§  ba r4 @ebp-0×08

地址@ebp-8一定是一个局部变量地址，所以当CPU对这个局部变量执行读写操作时，将引发硬件中断。

其他操作

           其他的断点操作包括：显示断点列表、禁止或恢复断点、删除断点等。

§  bl：列出所有断点

§  bd：禁止断点，d代表Disable。如bd 1，禁止断点1。断点被禁止后将不起作用，但亦未删除。

§  be：恢复断点，e代表Enable。恢复被禁止的断点。如be 1恢复1号断点。

§  bc：清除断点，如：bc 1，清除断点1；bc *，清除全部断点。

§  br：序号管理，r代表ReNumber，即重新排序。如：br 2 0，将2号断点重设为0号断点。