0x01  基本框架

    基本框架就是CreateProcess启动目标程序,再通过调试事件DEBUG_EVENT在调试循环中监控程序的行为。

    (1)CreatProcess

BOOL CreateProcess(

LPCTSTR lpApplicationName, // 要创建的进程模块名 
LPTSTR lpCommandLine, // 命令行字符串

LPSECURITY_ATTRIBUTES lpProcessAttributes, // 进程安全属性 
LPSECURITY_ATTRIBUTES lpThreadAttributes, // 线程安全属性 
BOOL bInheritHandles, // 句柄继承选项

DWORD dwCreationFlags, // 进程创建选项

LPVOID lpEnvironment, // 进程环境块数据指针 
LPCTSTR lpCurrentDirectory, // 当前目录名 
LPSTARTUPINFO lpStartupInfo, // 启动信息

LPPROCESS_INFORMATION lpProcessInformation // 进程信息
 );

  双击一个EXE可执行文件时,Windows内核也就会自动调用CreatProcess  函数创建我们双击的文件所对应的进程。

  CreateProcess函数的第六个成员dwCreationFlags进程创建选项,指明了要如何创建目标进程,在minidebug中,它指定的是DEBUG_ONLY_THIS_PROCESS | CREATE_NEW_CONSOLE | CREATE_SUSPENDED。

  DEBUG_ONLY_THIS_PROCESS表明调用CreateProcess的进程成为调试器,而它启动的子进程成为被调试的进程。DEBUG_ONLY_THIS_PROCESS与DEBUG_PROCESS的不同在于:DEBUG_PROCESS会调试被调试进程以及它的所有子进程,而DEBUG_ONLY_THIS_PROCESS只调试被调试进程,不调试它的子进程。

  CreateProcess函数的最后一个成员LPPROCESS_INFORMATION指向一个进程信息结构体PROCESS_INFORMATION,进程创建后的相关信息会放到PROCESS_INFORMATION信息块中:

  LPPROCESS_INFORMATION结构: 

typedef struct _PROCESS_INFORMATION {

    HANDLE hProcess;

    HANDLE hThread;

    DWORD dwProcessId;

    DWORD dwThreadId;

} PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCESS_INFORMATION;

  启动被调试进程:

STARTUPINFO StartupInfo = { 0 };

	StartupInfo.cb = sizeof(STARTUPINFO);

	PROCESS_INFORMATION ProcessInfo = { 0 };

	if (CreateProcess(

		Command[1].c_str(),

		NULL,

		NULL,

		NULL,

		FALSE,

		DEBUG_ONLY_THIS_PROCESS | CREATE_NEW_CONSOLE | CREATE_SUSPENDED,

		NULL,

		NULL,

		&StartupInfo,

		&ProcessInfo) == FALSE) {

		std::wcout << TEXT("CreateProcess Failed") << GetLastError() << std::endl;

		return;

	}

	__ProcessHandle = ProcessInfo.hProcess;

	__ThreadHandle = ProcessInfo.hThread;

	__ProcessID = (HANDLE)ProcessInfo.dwProcessId;

	__ThreadID  = (HANDLE)ProcessInfo.dwThreadId;

	__DebuggerStatus = STATUS_SUSPENDED;

  

  (2)调试循环DEBUG LOOP监控调试事件DEBUG_EVENT

void OnGo(const CommandVector& Commmd)

{

	//SetSingleInstruction(FALSE);

	if (Commmd.size() < 2)

	{

		HandledException(FALSE);   //g   调试器未处理异常

		ContinueDebugSession();    //

		return;

	}

          ......

}

void ContinueDebugSession() {

	if (__DebuggerStatus == STATUS_NONE) {

		std::wcout << TEXT("Debuggee Is Not Started Yet") << std::endl;

		return;

	}

	if (__DebuggerStatus == STATUS_SUSPENDED) {

		ResumeThread(__ThreadHandle);

	}

	else {

		ContinueDebugEvent(

			(DWORD)__ProcessID,

			(DWORD)__ThreadID,

			__AlwaysContinue == TRUE ? DBG_CONTINUE : __ContinueStatus);

		__AlwaysContinue = FALSE;

	}

	DEBUG_EVENT DebugEvent;

	while (WaitForDebugEvent(&DebugEvent, INFINITE) == TRUE)

	{

		if (DispatchDebugEvent(&DebugEvent) == TRUE) {

			ContinueDebugEvent((DWORD)__ProcessID, (DWORD)__ThreadID, __ContinueStatus);

		}

		else {

			break;

		}

	}

}

  

  1>调试事件DEBUG_EVENT

   结构:

typedef struct _DEBUG_EVENT {

    DWORD dwDebugEventCode;

    DWORD dwProcessId;

    DWORD dwThreadId;

    union {

        EXCEPTION_DEBUG_INFO Exception;

        CREATE_THREAD_DEBUG_INFO CreateThread;

        CREATE_PROCESS_DEBUG_INFO CreateProcessInfo;

        EXIT_THREAD_DEBUG_INFO ExitThread;

        EXIT_PROCESS_DEBUG_INFO ExitProcess;

        LOAD_DLL_DEBUG_INFO LoadDll;

        UNLOAD_DLL_DEBUG_INFO UnloadDll;

        OUTPUT_DEBUG_STRING_INFO DebugString;

        RIP_INFO RipInfo;

    } u;

} DEBUG_EVENT, *LPDEBUG_EVENT;

  调试事件是被调试进程让系统通知调试器的事件,它包含了创建进程、创建线程、加载DLL、卸载DLL、发送输出字符串、发生异常等。如果调试器等待调试事件时刚好发生了一个调试事件,系统将填写WaitForDebugEvent函数的DEBUG_EVENT结构体的相关调试信息。 当系统通知调试器调试事件时,同时会挂起相关进程的所有线程,直到调试器使用ContinueDebugEvent继续调试事件时,被挂起的线程才继续执行。当进程被调试时,后续的调试事件也可能发生。

  调试事件的具体含义可见:http://blog.csdn.net/wlsgzl/article/details/18629635

  

  2>WaitForDebugEvent与ContinueDebugEvent

  

BOOL WaiteForDebugEvent(

LPDEBUG_EVENT _DEBUG_EVENT,

//指向调试事件的指针

DWORD dwMilliseconds

//等待事件的毫秒数

)

  

BOOL ContinueDebugEvent(

 DWORD dwProcessId,          // 目标进程ID

DWORD dwThreadId,            // 目标线程ID

DWORD dwContinueStatus    // 线程继续的标志

 );

  目标进程ID和目标线程ID这就是CreateProcess调用后,ProcessInfo结构中所包含的信息。该函数通过目标进程/线程ID来唯一标识目标进/线程,并且通过设置不同的ContinueStatus来通知目标进/线程继续运行的动作。

  第三成员最主ContinueStatus有两个值可供设定:一个是DBG_CONTINUE,表明调试事件已经被Debugger处理完毕,目标进/线程可以照常继续运行;另一个是DBG_EXCEPTION_NOT_HANDLED,表明Debugger并未处理该调试事件,目标进程收到该标志位后,将会将调试事件沿着Windows异常调用链继续往下发送。直至该调试事件被处理完为止——当然,如果目标进程发出的Debug Event没有任何调试器能够处理,那最后Windows只有祭出自己的杀手锏:应用程序XXX异常,即将被关闭。

minidebug学习分析 01 基本框架的更多相关文章

  1. 一个由正则表达式引发的血案 vs2017使用rdlc实现批量打印 vs2017使用rdlc [asp.net core 源码分析] 01 - Session SignalR sql for xml path用法 MemCahe C# 操作Excel图形——绘制、读取、隐藏、删除图形 IOC,DIP,DI,IoC容器

    1. 血案由来 近期我在为Lazada卖家中心做一个自助注册的项目,其中的shop name校验规则较为复杂,要求:1. 英文字母大小写2. 数字3. 越南文4. 一些特殊字符,如“&”,“- ...

  2. Java多线程系列--“JUC锁”01之 框架

    本章,我们介绍锁的架构:后面的章节将会对它们逐个进行分析介绍.目录如下:01. Java多线程系列--“JUC锁”01之 框架02. Java多线程系列--“JUC锁”02之 互斥锁Reentrant ...

  3. java多线程系类:JUC锁:01之框架

    本章,我们介绍锁的架构:后面的章节将会对它们逐个进行分析介绍.目录如下:01. Java多线程系列--"JUC锁"01之 框架02. Java多线程系列--"JUC锁&q ...

  4. Java 集合系列 01 总体框架

    java 集合系列目录: Java 集合系列 01 总体框架 Java 集合系列 02 Collection架构 Java 集合系列 03 ArrayList详细介绍(源码解析)和使用示例 Java ...

  5. NAACL 2019 字词表示学习分析

    NAACL 2019 表示学习分析 为要找出字.词.文档等实体表示学习相关的文章. word embedding 搜索关键词 word embedding Vector of Locally-Aggr ...

  6. SaToken学习笔记-01

    SaToken学习笔记-01 SaToken版本为1.18 如果有排版方面的错误,请查看:传送门 springboot集成 根据官网步骤maven导入依赖 <dependency> < ...

  7. Redis:学习笔记-01

    Redis:学习笔记-01 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 1. Redis入门 2.1 ...

  8. 软件测试之loadrunner学习笔记-01事务

    loadrunner学习笔记-01事务<转载至网络> 事务又称为Transaction,事务是一个点为了衡量某个action的性能,需要在开始和结束位置插入一个范围,定义这样一个事务. 作 ...

  9. go语言,golang学习笔记2 web框架选择

    go语言,golang学习笔记2 web框架选择 用什么go web框架比较好呢?能不能推荐个中文资料多的web框架呢? beego框架用的人最多,中文资料最多 首页 - beego: 简约 & ...

随机推荐

  1. 单细胞文献分析 Quantitative single-cell rna-seq with unique molecular identifers

    Quantitative single-cell rna-seq with unique molecular identifers 这篇文章论证了 scRNA-seq 使用UMI来计算基因表达量的合理 ...

  2. English trip M1 - AC11 May I Help You? 我能帮到你吗? Teacher:Lamb

    In this lesson you will learn to ask for things in shops  在本课程中,您将学习如何在商店中寻找东西 课上内容(Lesson) How are ...

  3. java.lang.RuntimeException: com.netflix.client.ClientException: Load balancer does not have available server for client: service-one

    一.异常信息 java.lang.RuntimeException: com.netflix.client.ClientException: Load balancer does not have a ...

  4. Vue.js的后端数据支持:使用Express建立app, 并使用MongoDB数据库。

    需要用到的backed tech stack: Node: JavaScript on the server/backend. That's basically what it is, but mor ...

  5. sgu 139 Help Needed!

    题意:16数码是否有解? 先计算展开成一维后逆序对.如果0在最后一行,那么逆序偶时有解.4*4时(n为偶)0的位置上升一行,逆序对+3或-1(奇偶性变化).(n为奇时+2或+0,不变) #includ ...

  6. xml的解构与组装

    xml的结构 <xml> <ToUserName><![CDATA[%s]]></ToUserName> <FromUserName>< ...

  7. 【洛谷p2669】【一本通p1100】金币

    (今天高产) 金币[传送门] 洛谷上的算法标签 自我感觉主要靠循环 这道题是2015年NOIp普及组的题,其实还是很简单的.但为什么写这道题呢? 这道题第一次接触是在一本通刷题的时候,当时学循环结构, ...

  8. SQL SERVER select,update,delete使用表别名

    [SELECT] select * from 表名 表别名 [UPDATE] update 表别名 set 表别名.列=值 from 表名 表别名 where 条件 [DELETE] delete 表 ...

  9. 6月3 Smarty基础读取配置

    Smarty百科 Smarty是一个php模板引擎.更准确的说,它分开了逻辑程序和外在的内容,提供了一种易于管理的方法.可以描述为应用程序员和美工扮演了不同的角色,因为在大多数情况下 ,他们不可能是同 ...

  10. python-django rest framework框架之渲染器

    渲染器 看到的页面时什么样子的,返回数据. restframework中默认就是下面 这两个render类,它的内部实现原理是拿url中的后缀名 .json 和类中的format字段进行比较,如果re ...