0x01  基本框架

    基本框架就是CreateProcess启动目标程序,再通过调试事件DEBUG_EVENT在调试循环中监控程序的行为。

    (1)CreatProcess

BOOL CreateProcess(

LPCTSTR lpApplicationName, // 要创建的进程模块名 
LPTSTR lpCommandLine, // 命令行字符串

LPSECURITY_ATTRIBUTES lpProcessAttributes, // 进程安全属性 
LPSECURITY_ATTRIBUTES lpThreadAttributes, // 线程安全属性 
BOOL bInheritHandles, // 句柄继承选项

DWORD dwCreationFlags, // 进程创建选项

LPVOID lpEnvironment, // 进程环境块数据指针 
LPCTSTR lpCurrentDirectory, // 当前目录名 
LPSTARTUPINFO lpStartupInfo, // 启动信息

LPPROCESS_INFORMATION lpProcessInformation // 进程信息
 );

  双击一个EXE可执行文件时,Windows内核也就会自动调用CreatProcess  函数创建我们双击的文件所对应的进程。

  CreateProcess函数的第六个成员dwCreationFlags进程创建选项,指明了要如何创建目标进程,在minidebug中,它指定的是DEBUG_ONLY_THIS_PROCESS | CREATE_NEW_CONSOLE | CREATE_SUSPENDED。

  DEBUG_ONLY_THIS_PROCESS表明调用CreateProcess的进程成为调试器,而它启动的子进程成为被调试的进程。DEBUG_ONLY_THIS_PROCESS与DEBUG_PROCESS的不同在于:DEBUG_PROCESS会调试被调试进程以及它的所有子进程,而DEBUG_ONLY_THIS_PROCESS只调试被调试进程,不调试它的子进程。

  CreateProcess函数的最后一个成员LPPROCESS_INFORMATION指向一个进程信息结构体PROCESS_INFORMATION,进程创建后的相关信息会放到PROCESS_INFORMATION信息块中:

  LPPROCESS_INFORMATION结构: 

typedef struct _PROCESS_INFORMATION {

    HANDLE hProcess;

    HANDLE hThread;

    DWORD dwProcessId;

    DWORD dwThreadId;

} PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCESS_INFORMATION;

  启动被调试进程:

STARTUPINFO StartupInfo = { 0 };

	StartupInfo.cb = sizeof(STARTUPINFO);

	PROCESS_INFORMATION ProcessInfo = { 0 };

	if (CreateProcess(

		Command[1].c_str(),

		NULL,

		NULL,

		NULL,

		FALSE,

		DEBUG_ONLY_THIS_PROCESS | CREATE_NEW_CONSOLE | CREATE_SUSPENDED,

		NULL,

		NULL,

		&StartupInfo,

		&ProcessInfo) == FALSE) {

		std::wcout << TEXT("CreateProcess Failed") << GetLastError() << std::endl;

		return;

	}

	__ProcessHandle = ProcessInfo.hProcess;

	__ThreadHandle = ProcessInfo.hThread;

	__ProcessID = (HANDLE)ProcessInfo.dwProcessId;

	__ThreadID  = (HANDLE)ProcessInfo.dwThreadId;

	__DebuggerStatus = STATUS_SUSPENDED;

  

  (2)调试循环DEBUG LOOP监控调试事件DEBUG_EVENT

void OnGo(const CommandVector& Commmd)

{

	//SetSingleInstruction(FALSE);

	if (Commmd.size() < 2)

	{

		HandledException(FALSE);   //g   调试器未处理异常

		ContinueDebugSession();    //

		return;

	}

          ......

}

void ContinueDebugSession() {

	if (__DebuggerStatus == STATUS_NONE) {

		std::wcout << TEXT("Debuggee Is Not Started Yet") << std::endl;

		return;

	}

	if (__DebuggerStatus == STATUS_SUSPENDED) {

		ResumeThread(__ThreadHandle);

	}

	else {

		ContinueDebugEvent(

			(DWORD)__ProcessID,

			(DWORD)__ThreadID,

			__AlwaysContinue == TRUE ? DBG_CONTINUE : __ContinueStatus);

		__AlwaysContinue = FALSE;

	}

	DEBUG_EVENT DebugEvent;

	while (WaitForDebugEvent(&DebugEvent, INFINITE) == TRUE)

	{

		if (DispatchDebugEvent(&DebugEvent) == TRUE) {

			ContinueDebugEvent((DWORD)__ProcessID, (DWORD)__ThreadID, __ContinueStatus);

		}

		else {

			break;

		}

	}

}

  

  1>调试事件DEBUG_EVENT

   结构:

typedef struct _DEBUG_EVENT {

    DWORD dwDebugEventCode;

    DWORD dwProcessId;

    DWORD dwThreadId;

    union {

        EXCEPTION_DEBUG_INFO Exception;

        CREATE_THREAD_DEBUG_INFO CreateThread;

        CREATE_PROCESS_DEBUG_INFO CreateProcessInfo;

        EXIT_THREAD_DEBUG_INFO ExitThread;

        EXIT_PROCESS_DEBUG_INFO ExitProcess;

        LOAD_DLL_DEBUG_INFO LoadDll;

        UNLOAD_DLL_DEBUG_INFO UnloadDll;

        OUTPUT_DEBUG_STRING_INFO DebugString;

        RIP_INFO RipInfo;

    } u;

} DEBUG_EVENT, *LPDEBUG_EVENT;

  调试事件是被调试进程让系统通知调试器的事件,它包含了创建进程、创建线程、加载DLL、卸载DLL、发送输出字符串、发生异常等。如果调试器等待调试事件时刚好发生了一个调试事件,系统将填写WaitForDebugEvent函数的DEBUG_EVENT结构体的相关调试信息。 当系统通知调试器调试事件时,同时会挂起相关进程的所有线程,直到调试器使用ContinueDebugEvent继续调试事件时,被挂起的线程才继续执行。当进程被调试时,后续的调试事件也可能发生。

  调试事件的具体含义可见:http://blog.csdn.net/wlsgzl/article/details/18629635

  

  2>WaitForDebugEvent与ContinueDebugEvent

  

BOOL WaiteForDebugEvent(

LPDEBUG_EVENT _DEBUG_EVENT,

//指向调试事件的指针

DWORD dwMilliseconds

//等待事件的毫秒数

)

  

BOOL ContinueDebugEvent(

 DWORD dwProcessId,          // 目标进程ID

DWORD dwThreadId,            // 目标线程ID

DWORD dwContinueStatus    // 线程继续的标志

 );

  目标进程ID和目标线程ID这就是CreateProcess调用后,ProcessInfo结构中所包含的信息。该函数通过目标进程/线程ID来唯一标识目标进/线程,并且通过设置不同的ContinueStatus来通知目标进/线程继续运行的动作。

  第三成员最主ContinueStatus有两个值可供设定:一个是DBG_CONTINUE,表明调试事件已经被Debugger处理完毕,目标进/线程可以照常继续运行;另一个是DBG_EXCEPTION_NOT_HANDLED,表明Debugger并未处理该调试事件,目标进程收到该标志位后,将会将调试事件沿着Windows异常调用链继续往下发送。直至该调试事件被处理完为止——当然,如果目标进程发出的Debug Event没有任何调试器能够处理,那最后Windows只有祭出自己的杀手锏:应用程序XXX异常,即将被关闭。

minidebug学习分析 01 基本框架的更多相关文章

  1. 一个由正则表达式引发的血案 vs2017使用rdlc实现批量打印 vs2017使用rdlc [asp.net core 源码分析] 01 - Session SignalR sql for xml path用法 MemCahe C# 操作Excel图形——绘制、读取、隐藏、删除图形 IOC,DIP,DI,IoC容器

    1. 血案由来 近期我在为Lazada卖家中心做一个自助注册的项目,其中的shop name校验规则较为复杂,要求:1. 英文字母大小写2. 数字3. 越南文4. 一些特殊字符,如“&”,“- ...

  2. Java多线程系列--“JUC锁”01之 框架

    本章,我们介绍锁的架构:后面的章节将会对它们逐个进行分析介绍.目录如下:01. Java多线程系列--“JUC锁”01之 框架02. Java多线程系列--“JUC锁”02之 互斥锁Reentrant ...

  3. java多线程系类:JUC锁:01之框架

    本章,我们介绍锁的架构:后面的章节将会对它们逐个进行分析介绍.目录如下:01. Java多线程系列--"JUC锁"01之 框架02. Java多线程系列--"JUC锁&q ...

  4. Java 集合系列 01 总体框架

    java 集合系列目录: Java 集合系列 01 总体框架 Java 集合系列 02 Collection架构 Java 集合系列 03 ArrayList详细介绍(源码解析)和使用示例 Java ...

  5. NAACL 2019 字词表示学习分析

    NAACL 2019 表示学习分析 为要找出字.词.文档等实体表示学习相关的文章. word embedding 搜索关键词 word embedding Vector of Locally-Aggr ...

  6. SaToken学习笔记-01

    SaToken学习笔记-01 SaToken版本为1.18 如果有排版方面的错误,请查看:传送门 springboot集成 根据官网步骤maven导入依赖 <dependency> < ...

  7. Redis:学习笔记-01

    Redis:学习笔记-01 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 1. Redis入门 2.1 ...

  8. 软件测试之loadrunner学习笔记-01事务

    loadrunner学习笔记-01事务<转载至网络> 事务又称为Transaction,事务是一个点为了衡量某个action的性能,需要在开始和结束位置插入一个范围,定义这样一个事务. 作 ...

  9. go语言,golang学习笔记2 web框架选择

    go语言,golang学习笔记2 web框架选择 用什么go web框架比较好呢?能不能推荐个中文资料多的web框架呢? beego框架用的人最多,中文资料最多 首页 - beego: 简约 & ...

随机推荐

  1. QQ Protect 的删除

    删的好费劲,驱动程序,服务,各个东西都在相互保护. 最后总结: 1)进安全模式 2)删除 下面的文件 c:\program files\tencent\qqlite\shellext\qqshelle ...

  2. Ubuntu自带截图工具screenshoot

  3. C语言转义字符基础总结

    C语言转义字符总结 C语言中的转义字符,是字符常量中很特别的一类.初学者容易在这方面犯错误,比如说我. 错题1 答案:C解析:每一个转义字符具有一个长度,这个字符串中:\t, \x43, \', \ ...

  4. 雷林鹏分享:C# 程序结构

    C# 程序结构 在我们学习 C# 编程语言的基础构件块之前,让我们先看一下 C# 的最小的程序结构,以便作为接下来章节的参考. C# Hello World 实例 一个 C# 程序主要包括以下部分: ...

  5. 【转】 详解C中volatile关键字

    转自: http://www.cnblogs.com/yc_sunniwell/archive/2010/06/24/1764231.html volatile提醒编译器它后面所定义的变量随时都有可能 ...

  6. ubuntu vi配置

    1.先卸载tiny版本vi 输入命令:sudo apt-get remove vim-common 2.然后再输入命令: sudo apt-get   install vim sudo vim /et ...

  7. VS Code插件

    VS Code下载地址: https://code.visualstudio.com/ 1.view in browser   和  Open-In-Browser  安装可在编辑器中打开html,在 ...

  8. python记录_day14 内置函数二 迭代 二分法

    一.匿名函数 形式: lambda 形参:返回值 lambda表示的是匿名函数. 不需要用def来声明, 一句话就可以声明出一个函数.匿名函数不是说一定没名字,而是他们的名字统一称为“lambda”, ...

  9. 『MXNet』第十二弹_再谈新建计算节点

    上一节我们已经谈到了计算节点,但是即使是官方文档介绍里面相关内容也过于简略,我们使用Faster-RCNN代码中的新建节点为例,重新介绍一下新建节点的调用栈. 1.调用新建节点 参数分为三部分,op_ ...

  10. mysql使用sql语句根据经纬度计算距离排序

    CREATE TABLE `locationpoint` ( `id` int(11) NOT NULL, `province` varchar(20) NOT NULL, `city` varcha ...