将详细分析Windows调试的本机接口。希望读者对C和通用NT内核体系结构和语义有一些基本的了解。此外,这并不是介绍什么是调试或如何编写调试器。它可以作为经验丰富的调试器编写人员或好奇的安全专家的参考。

本机调试

现在是时候看看事情的本机方面,以及ntdll.dll中的包装层如何与内核通信。DbgUi层的优点是它允许更好地分离Win32和NT内核,而NT内核一直是NT设计的一部分。NTDLL和NTOSKRNL是一起构建的,所以他们对彼此有复杂的了解是正常的。它们共享相同的结构,需要有相同的系统调用ID等。在完美的世界中,NT内核应该对Win32一无所知。

此外,它还可以帮助任何希望在本机应用程序中编写调试功能或编写功能齐全的本机模式调试器的人。如果没有DbgUi,就必须手动调用Nt*DebugObject api,并在某些情况下进行大量的前/后处理。DbgUi将所有这些工作简化为一个简单的调用,并提供一个干净的接口来完成。如果内核在内部发生变化,DbgUi可能会保持不变,只会修改其内部代码。

我们从负责创建调试对象并将其与当前进程关联的函数开始探索。与Win32不同,创建调试对象和实际附加到进程之间有着明显的区别。

  1. NTSTATUS
  2. NTAPI
  3. DbgUiConnectToDbg(VOID)
  4. {
  5.     OBJECT_ATTRIBUTES ObjectAttributes;
  6.  
  7.     /* Don't connect twice */
  8.     if (NtCurrentTeb()->DbgSsReserved[]) return STATUS_SUCCESS;
  9.  
  10.     /* Setup the Attributes */
  11.     InitializeObjectAttributes(&ObjectAttributes, NULL, , NULL, );
  12.  
  13.     /* Create the object */
  14.     return ZwCreateDebugObject(&NtCurrentTeb()->DbgSsReserved[],
  15.                                DEBUG_OBJECT_ALL_ACCESS,
  16.                                &ObjectAttributes,
  17.                                TRUE);
  18. }

如您所见,这是一个微不足道的实现,但它向我们展示了两件事。首先,一个线程只能有一个相关联的调试对象,其次,这个对象的句柄存储在TEB的DbgSsReserved数组字段中。回想一下,在Win32中,第一个索引[0]是存储线程数据的位置。我们现在知道了[1]是存放把手的地方。
现在让我们看看如何连接和分离:

  1. NTSTATUS
  2. NTAPI
  3. DbgUiDebugActiveProcess(IN HANDLE Process)
  4. {
  5.     NTSTATUS Status;
  6.  
  7.     /* Tell the kernel to start debugging */
  8.     Status = NtDebugActiveProcess(Process, NtCurrentTeb()->DbgSsReserved[]);
  9.     if (NT_SUCCESS(Status))
  10.     {
  11.         /* Now break-in the process */
  12.         Status = DbgUiIssueRemoteBreakin(Process);
  13.         if (!NT_SUCCESS(Status))
  14.         {
  15.             /* We couldn't break-in, cancel debugging */
  16.             DbgUiStopDebugging(Process);
  17.         }
  18.     }
  19.  
  20.     /* Return status */
  21.     return Status;
  22. }
  23.  
  24. NTSTATUS
  25. NTAPI
  26. DbgUiStopDebugging(IN HANDLE Process)
  27. {
  28.     /* Call the kernel to remove the debug object */
  29.     return NtRemoveProcessDebug(Process, NtCurrentTeb()->DbgSsReserved[]);
  30. }

同样,这些都是非常简单的实现。但是,我们可以了解到,内核并不负责在远程进程中真正的中断,而是由本机层完成。这个DbgUiIssueRemoteBreakin API在调用DebugBreakProcess时也被Win32使用,所以让我们来看看它:

  1. NTSTATUS
  2. NTAPI
  3. DbgUiIssueRemoteBreakin(IN HANDLE Process)
  4. {
  5.     HANDLE hThread;
  6.     CLIENT_ID ClientId;
  7.     NTSTATUS Status;
  8.  
  9.     /* Create the thread that will do the breakin */
  10.     Status = RtlCreateUserThread(Process,
  11.                                  NULL,
  12.                                  FALSE,
  13.                                  ,
  14.                                  ,
  15.                                  PAGE_SIZE,
  16.                                  (PVOID)DbgUiRemoteBreakin,
  17.                                  NULL,
  18.                                  &hThread,
  19.                                  &ClientId);
  20.  
  21.     /* Close the handle on success */
  22.     if(NT_SUCCESS(Status)) NtClose(hThread);
  23.  
  24.     /* Return status */
  25.     return Status;
  26. }

它所做的只是在进程内创建一个远程线程,然后返回到调用方。那个远程线程有什么魔力吗?让我们看看:

  1. VOID
  2. NTAPI
  3. DbgUiRemoteBreakin(VOID)
  4. {
  5.     /* Make sure a debugger is enabled; if so, breakpoint */
  6.     if (NtCurrentPeb()->BeingDebugged) DbgBreakPoint();
  7.  
  8.     /* Exit the thread */
  9.     RtlExitUserThread(STATUS_SUCCESS);
  10. }

一点也不特别;线程确保进程真正被调试,然后发出断点。而且,因为这个API是导出的,所以您可以从自己的进程本地调用它来发出调试中断(但请注意,您将杀死自己的线程)。在我们查看Win32调试实现时,我们注意到实际的调试句柄从未使用过,而且调用总是通过DbgUi进行。然后调用NtSetInformationDebugObject系统调用,之前调用了一个特殊的DbgUi API,以实际获取与线程关联的调试对象。这个API也有一个对应的API,所以让我们看看这两个API的作用:

  1. HANDLE
  2. NTAPI
  3. DbgUiGetThreadDebugObject(VOID)
  4. {
  5.     /* Just return the handle from the TEB */
  6.     return NtCurrentTeb()->DbgSsReserved[];
  7. }
  8.  
  9. VOID
  10. NTAPI
  11. DbgUiSetThreadDebugObject(HANDLE DebugObject)
  12. {
  13.     /* Just set the handle in the TEB */
  14.     NtCurrentTeb()->DbgSsReserved[] = DebugObject;
  15. }

对于那些熟悉面向对象编程的人来说,这似乎类似于访问器和变异器方法的概念。尽管Win32对这个句柄有完美的访问权限,并且可以自己简单地读取它,NT开发人员还是决定让DbgUi更像一个类,并确保通过这些公共方法访问这个句柄。这种设计允许在必要时将调试句柄存储在其他任何地方,并且只有这两个api需要更改,而不是Win32中的多个dll。
现在访问wait/continue函数,它在Win32下只是包装器:

  1. NTSTATUS
  2. NTAPI
  3. DbgUiContinue(IN PCLIENT_ID ClientId,
  4.               IN NTSTATUS ContinueStatus)
  5. {
  6.     /* Tell the kernel object to continue */
  7.     return ZwDebugContinue(NtCurrentTeb()->DbgSsReserved[],
  8.                            ClientId,
  9.                            ContinueStatus);
  10. }
  11.  
  12. NTSTATUS
  13. NTAPI
  14. DbgUiWaitStateChange(OUT PDBGUI_WAIT_STATE_CHANGE DbgUiWaitStateCange,
  15.                      IN PLARGE_INTEGER TimeOut OPTIONAL)
  16. {
  17.     /* Tell the kernel to wait */
  18.     return NtWaitForDebugEvent(NtCurrentTeb()->DbgSsReserved[],
  19.                                TRUE,
  20.                                TimeOut,
  21.                                DbgUiWaitStateCange);
  22. }

毫不奇怪,这些函数也是DbgUi中的包装器。然而,这是事情开始变得有趣的地方,因为如果您还记得,DbgUi对调试事件使用完全不同的结构,称为DbgUi-WAIT-STATE-CHANGE。我们还有一个API要看,它负责转换,所以首先,让我们看看这个结构的文档:

  1. //
  2. // User-Mode Debug State Change Structure
  3. //
  4. typedef struct _DBGUI_WAIT_STATE_CHANGE
  5. {
  6.     DBG_STATE NewState;
  7.     CLIENT_ID AppClientId;
  8.     union
  9.     {
  10.         struct
  11.         {
  12.             HANDLE HandleToThread;
  13.             DBGKM_CREATE_THREAD NewThread;
  14.         } CreateThread;
  15.         struct
  16.         {
  17.             HANDLE HandleToProcess;
  18.             HANDLE HandleToThread;
  19.             DBGKM_CREATE_PROCESS NewProcess;
  20.         } CreateProcessInfo;
  21.         DBGKM_EXIT_THREAD ExitThread;
  22.         DBGKM_EXIT_PROCESS ExitProcess;
  23.         DBGKM_EXCEPTION Exception;
  24.         DBGKM_LOAD_DLL LoadDll;
  25.         DBGKM_UNLOAD_DLL UnloadDll;
  26.     } StateInfo;
  27. } DBGUI_WAIT_STATE_CHANGE, *PDBGUI_WAIT_STATE_CHANGE;

这些字段应该很简单,所以让我们看看DBG_STATE枚举:

  1. //
  2. // Debug States
  3. //
  4. typedef enum _DBG_STATE
  5. {
  6.     DbgIdle,
  7.     DbgReplyPending,
  8.     DbgCreateThreadStateChange,
  9.     DbgCreateProcessStateChange,
  10.     DbgExitThreadStateChange,
  11.     DbgExitProcessStateChange,
  12.     DbgExceptionStateChange,
  13.     DbgBreakpointStateChange,
  14.     DbgSingleStepStateChange,
  15.     DbgLoadDllStateChange,
  16.     DbgUnloadDllStateChange
  17. } DBG_STATE, *PDBG_STATE;

如果您查看Win32调试事件结构和关联的调试事件类型,您会注意到一些可能对您有用的差异。对于初学者,异常、断点和单步异常的处理方式不同。在Win32世界中,只有两个区别:用于异常的RIP_事件和用于调试事件的EXCEPTION_DEBUG_事件。尽管代码稍后可以确定这是一个断点还是一个步骤,但这些信息直接来自本机结构。您还将注意到缺少OUTPUT_DEBUG_STRING事件。在这里,DbgUi处于劣势,因为信息是作为异常发送的,并且需要进行后处理(我们将很快对此进行研究)。Win32还不支持另外两种状态,即空闲状态和应答挂起状态。从调试器的角度来看,它们不提供太多信息,因此被忽略。

现在让我们看看实际的结构:

  1. //
  2. // Debug Message Structures
  3. //
  4. typedef struct _DBGKM_EXCEPTION
  5. {
  6.     EXCEPTION_RECORD ExceptionRecord;
  7.     ULONG FirstChance;
  8. } DBGKM_EXCEPTION, *PDBGKM_EXCEPTION;
  9.  
  10. typedef struct _DBGKM_CREATE_THREAD
  11. {
  12.     ULONG SubSystemKey;
  13.     PVOID StartAddress;
  14. } DBGKM_CREATE_THREAD, *PDBGKM_CREATE_THREAD;
  15.  
  16. typedef struct _DBGKM_CREATE_PROCESS
  17. {
  18.     ULONG SubSystemKey;
  19.     HANDLE FileHandle;
  20.     PVOID BaseOfImage;
  21.     ULONG DebugInfoFileOffset;
  22.     ULONG DebugInfoSize;
  23.     DBGKM_CREATE_THREAD InitialThread;
  24. } DBGKM_CREATE_PROCESS, *PDBGKM_CREATE_PROCESS;
  25.  
  26. typedef struct _DBGKM_EXIT_THREAD
  27. {
  28.     NTSTATUS ExitStatus;
  29. } DBGKM_EXIT_THREAD, *PDBGKM_EXIT_THREAD;
  30.  
  31. typedef struct _DBGKM_EXIT_PROCESS
  32. {
  33.     NTSTATUS ExitStatus;
  34. } DBGKM_EXIT_PROCESS, *PDBGKM_EXIT_PROCESS;
  35.  
  36. typedef struct _DBGKM_LOAD_DLL
  37. {
  38.     HANDLE FileHandle;
  39.     PVOID BaseOfDll;
  40.     ULONG DebugInfoFileOffset;
  41.     ULONG DebugInfoSize;
  42.     PVOID NamePointer;
  43. } DBGKM_LOAD_DLL, *PDBGKM_LOAD_DLL;
  44.  
  45. typedef struct _DBGKM_UNLOAD_DLL
  46. {
  47.     PVOID BaseAddress;
  48. } DBGKM_UNLOAD_DLL, *PDBGKM_UNLOAD_DLL;

如果您熟悉DEBUG_EVENT结构,您应该注意到一些细微的差异。首先,没有进程名的指示,这解释了为什么MSDN将此字段记录为可选字段,而Win32不使用它。您还将注意到线程结构中缺少指向TEB的指针。最后,与新进程不同的是,Win32确实显示了加载的任何新DLL的名称,但在加载DLL结构中似乎也缺少这个名称;我们将很快看到如何处理这个和其他更改。但是,对于额外的信息,我们有“SubsystemKey”字段。由于NT被设计为支持多个子系统,所以这个字段对于识别从哪个子系统创建新线程或进程至关重要。Windows2003SP1增加了对调试POSIX应用程序的支持,虽然我还没有研究过POSIX调试API,但我确信它们是围绕DbgUi实现构建的,而且POSIX库使用此字段的方式不同(很像Win32忽略它)。

现在我们已经看到了这些差异,最后要看的API是DbgUiConvertStateChangeStructure,它负责执行这些修改和修正:

  1. NTSTATUS
  2. NTAPI
  3. DbgUiConvertStateChangeStructure(IN PDBGUI_WAIT_STATE_CHANGE WaitStateChange,
  4.                                  OUT PVOID Win32DebugEvent)
  5. {
  6.     NTSTATUS Status;
  7.     OBJECT_ATTRIBUTES ObjectAttributes;
  8.     THREAD_BASIC_INFORMATION ThreadBasicInfo;
  9.     LPDEBUG_EVENT DebugEvent = Win32DebugEvent;
  10.     HANDLE ThreadHandle;
  11.  
  12.     /* Write common data */
  13.     DebugEvent->dwProcessId = (DWORD)WaitStateChange->
  14.                                      AppClientId.UniqueProcess;
  15.     DebugEvent->dwThreadId = (DWORD)WaitStateChange->AppClientId.UniqueThread;
  16.  
  17.     /* Check what kind of even this is */
  18.     switch (WaitStateChange->NewState)
  19.     {
  20.         /* New thread */
  21.         case DbgCreateThreadStateChange:
  22.  
  23.             /* Setup Win32 code */
  24.             DebugEvent->dwDebugEventCode = CREATE_THREAD_DEBUG_EVENT;
  25.  
  26.             /* Copy data over */
  27.             DebugEvent->u.CreateThread.hThread =
  28.                 WaitStateChange->StateInfo.CreateThread.HandleToThread;
  29.             DebugEvent->u.CreateThread.lpStartAddress =
  30.                 WaitStateChange->StateInfo.CreateThread.NewThread.StartAddress;
  31.  
  32.             /* Query the TEB */
  33.             Status = NtQueryInformationThread(WaitStateChange->StateInfo.
  34.                                               CreateThread.HandleToThread,
  35.                                               ThreadBasicInformation,
  36.                                               &ThreadBasicInfo,
  37.                                               sizeof(ThreadBasicInfo),
  38.                                               NULL);
  39.             if (!NT_SUCCESS(Status))
  40.             {
  41.                 /* Failed to get PEB address */
  42.                 DebugEvent->u.CreateThread.lpThreadLocalBase = NULL;
  43.             }
  44.             else
  45.             {
  46.                 /* Write PEB Address */
  47.                 DebugEvent->u.CreateThread.lpThreadLocalBase =
  48.                     ThreadBasicInfo.TebBaseAddress;
  49.             }
  50.             break;
  51.  
  52.         /* New process */
  53.         case DbgCreateProcessStateChange:
  54.  
  55.             /* Write Win32 debug code */
  56.             DebugEvent->dwDebugEventCode = CREATE_PROCESS_DEBUG_EVENT;
  57.  
  58.             /* Copy data over */
  59.             DebugEvent->u.CreateProcessInfo.hProcess =
  60.                 WaitStateChange->StateInfo.CreateProcessInfo.HandleToProcess;
  61.             DebugEvent->u.CreateProcessInfo.hThread =
  62.                 WaitStateChange->StateInfo.CreateProcessInfo.HandleToThread;
  63.             DebugEvent->u.CreateProcessInfo.hFile =
  64.                 WaitStateChange->StateInfo.CreateProcessInfo.NewProcess.
  65.                 FileHandle;
  66.             DebugEvent->u.CreateProcessInfo.lpBaseOfImage =
  67.                 WaitStateChange->StateInfo.CreateProcessInfo.NewProcess.
  68.                 BaseOfImage;
  69.             DebugEvent->u.CreateProcessInfo.dwDebugInfoFileOffset =
  70.                 WaitStateChange->StateInfo.CreateProcessInfo.NewProcess.
  71.                 DebugInfoFileOffset;
  72.             DebugEvent->u.CreateProcessInfo.nDebugInfoSize =
  73.                 WaitStateChange->StateInfo.CreateProcessInfo.NewProcess.
  74.                 DebugInfoSize;
  75.             DebugEvent->u.CreateProcessInfo.lpStartAddress =
  76.                 WaitStateChange->StateInfo.CreateProcessInfo.NewProcess.
  77.                 InitialThread.StartAddress;
  78.  
  79.             /* Query TEB address */
  80.             Status = NtQueryInformationThread(WaitStateChange->StateInfo.
  81.                                               CreateProcessInfo.HandleToThread,
  82.                                               ThreadBasicInformation,
  83.                                               &ThreadBasicInfo,
  84.                                               sizeof(ThreadBasicInfo),
  85.                                               NULL);
  86.             if (!NT_SUCCESS(Status))
  87.             {
  88.                 /* Failed to get PEB address */
  89.                 DebugEvent->u.CreateThread.lpThreadLocalBase = NULL;
  90.             }
  91.             else
  92.             {
  93.                 /* Write PEB Address */
  94.                 DebugEvent->u.CreateThread.lpThreadLocalBase =
  95.                     ThreadBasicInfo.TebBaseAddress;
  96.             }
  97.  
  98.             /* Clear image name */
  99.             DebugEvent->u.CreateProcessInfo.lpImageName = NULL;
  100.             DebugEvent->u.CreateProcessInfo.fUnicode = TRUE;
  101.             break;
  102.  
  103.         /* Thread exited */
  104.         case DbgExitThreadStateChange:
  105.  
  106.             /* Write the Win32 debug code and the exit status */
  107.             DebugEvent->dwDebugEventCode = EXIT_THREAD_DEBUG_EVENT;
  108.             DebugEvent->u.ExitThread.dwExitCode =
  109.                 WaitStateChange->StateInfo.ExitThread.ExitStatus;
  110.             break;
  111.  
  112.         /* Process exited */
  113.         case DbgExitProcessStateChange:
  114.  
  115.             /* Write the Win32 debug code and the exit status */
  116.             DebugEvent->dwDebugEventCode = EXIT_PROCESS_DEBUG_EVENT;
  117.             DebugEvent->u.ExitProcess.dwExitCode =
  118.                 WaitStateChange->StateInfo.ExitProcess.ExitStatus;
  119.             break;
  120.  
  121.         /* Any sort of exception */
  122.         case DbgExceptionStateChange:
  123.         case DbgBreakpointStateChange:
  124.         case DbgSingleStepStateChange:
  125.  
  126.             /* Check if this was a debug print */
  127.             if (WaitStateChange->StateInfo.Exception.ExceptionRecord.
  128.                 ExceptionCode == DBG_PRINTEXCEPTION_C)
  129.             {
  130.                 /* Set the Win32 code */
  131.                 DebugEvent->dwDebugEventCode = OUTPUT_DEBUG_STRING_EVENT;
  132.  
  133.                 /* Copy debug string information */
  134.                 DebugEvent->u.DebugString.lpDebugStringData =
  135.                     (PVOID)WaitStateChange->
  136.                            StateInfo.Exception.ExceptionRecord.
  137.                            ExceptionInformation[];
  138.                 DebugEvent->u.DebugString.nDebugStringLength =
  139.                     WaitStateChange->StateInfo.Exception.ExceptionRecord.
  140.                     ExceptionInformation[];
  141.                 DebugEvent->u.DebugString.fUnicode = FALSE;
  142.             }
  143.             else if (WaitStateChange->StateInfo.Exception.ExceptionRecord.
  144.                      ExceptionCode == DBG_RIPEXCEPTION)
  145.             {
  146.                 /* Set the Win32 code */
  147.                 DebugEvent->dwDebugEventCode = RIP_EVENT;
  148.  
  149.                 /* Set exception information */
  150.                 DebugEvent->u.RipInfo.dwType =
  151.                     WaitStateChange->StateInfo.Exception.ExceptionRecord.
  152.                     ExceptionInformation[];
  153.                 DebugEvent->u.RipInfo.dwError =
  154.                     WaitStateChange->StateInfo.Exception.ExceptionRecord.
  155.                     ExceptionInformation[];
  156.             }
  157.             else
  158.             {
  159.                 /* Otherwise, this is a debug event, copy info over */
  160.                 DebugEvent->dwDebugEventCode = EXCEPTION_DEBUG_EVENT;
  161.                 DebugEvent->u.Exception.ExceptionRecord =
  162.                     WaitStateChange->StateInfo.Exception.ExceptionRecord;
  163.                 DebugEvent->u.Exception.dwFirstChance =
  164.                     WaitStateChange->StateInfo.Exception.FirstChance;
  165.             }
  166.             break;
  167.  
  168.         /* DLL Load */
  169.         case DbgLoadDllStateChange :
  170.  
  171.             /* Set the Win32 debug code */
  172.             DebugEvent->dwDebugEventCode = LOAD_DLL_DEBUG_EVENT;
  173.  
  174.             /* Copy the rest of the data */
  175.             DebugEvent->u.LoadDll.lpBaseOfDll =
  176.                 WaitStateChange->StateInfo.LoadDll.BaseOfDll;
  177.             DebugEvent->u.LoadDll.hFile =
  178.                 WaitStateChange->StateInfo.LoadDll.FileHandle;
  179.             DebugEvent->u.LoadDll.dwDebugInfoFileOffset =
  180.                 WaitStateChange->StateInfo.LoadDll.DebugInfoFileOffset;
  181.             DebugEvent->u.LoadDll.nDebugInfoSize =
  182.                 WaitStateChange->StateInfo.LoadDll.DebugInfoSize;
  183.  
  184.             /* Open the thread */
  185.             InitializeObjectAttributes(&ObjectAttributes, NULL, , NULL, NULL);
  186.             Status = NtOpenThread(&ThreadHandle,
  187.                                  THREAD_QUERY_INFORMATION,
  188.                                  &ObjectAttributes,
  189.                                  &WaitStateChange->AppClientId);
  190.             if (NT_SUCCESS(Status))
  191.             {
  192.                 /* Query thread information */
  193.                 Status = NtQueryInformationThread(ThreadHandle,
  194.                                                   ThreadBasicInformation,
  195.                                                   &ThreadBasicInfo,
  196.                                                   sizeof(ThreadBasicInfo),
  197.                                                   NULL);
  198.                 NtClose(ThreadHandle);
  199.             }
  200.  
  201.             /* Check if we got thread information */
  202.             if (NT_SUCCESS(Status))
  203.             {
  204.                 /* Save the image name from the TIB */
  205.                 DebugEvent->u.LoadDll.lpImageName =
  206.                     &((PTEB)ThreadBasicInfo.TebBaseAddress)->
  207.                     Tib.ArbitraryUserPointer;
  208.             }
  209.             else
  210.             {
  211.                 /* Otherwise, no name */
  212.                 DebugEvent->u.LoadDll.lpImageName = NULL;
  213.             }
  214.  
  215.             /* It's Unicode */
  216.             DebugEvent->u.LoadDll.fUnicode = TRUE;
  217.             break;
  218.  
  219.         /* DLL Unload */
  220.         case DbgUnloadDllStateChange:
  221.  
  222.             /* Set Win32 code and DLL Base */
  223.             DebugEvent->dwDebugEventCode = UNLOAD_DLL_DEBUG_EVENT;
  224.             DebugEvent->u.UnloadDll.lpBaseOfDll =
  225.                 WaitStateChange->StateInfo.UnloadDll.BaseAddress;
  226.             break;
  227.  
  228.         /* Anything else, fail */
  229.         default: return STATUS_UNSUCCESSFUL;
  230.     }
  231.  
  232.     /* Return success */
  233.     return STATUS_SUCCESS;
  234. }

让我们看看这些有趣的装饰。首先,通过使用ThreadBasicInformation类型调用NtQueryInformationThread很容易修复TEB指针的不足,该类型返回指向TEB的指针,然后将其保存在Win32结构中。至于调试字符串,API分析异常代码并查找DBG_PRINTEXCEPTION_C,它有一个特定的异常记录,该记录被解析并转换为调试字符串输出。

到目前为止还算不错,但在加载DLL的代码中可能出现了最糟糕的黑客攻击。因为加载的DLL在内核内存中没有EPROCESS或ETHREAD这样的结构,但是在ntdll的私有Ldr结构中,唯一标识它的是内存中内存映射文件的节对象。当内核收到为可执行内存映射文件创建节的请求时,它会将文件名保存在TEB(或者TIB,更确切地说,是TIB)中的一个字段中,该字段称为arbiryuserpointer。

然后,此函数知道一个字符串位于那里,并将其设置为调试事件的lpImageName成员的指针。自从第一次构建以来,这个黑客就一直在NT中,据我所知,它仍然存在于Vista中。会这么难解决吗?

再次,我们的讨论到此结束,因为ntdll中处理调试对象的部分已经所剩无几。以下是本系列本部分讨论内容的概述:

  • DbgUi在内核和Win32或其他子系统之间提供了一定程度的分离。它是作为一个完全独立的类编写的,甚至有访问器和变异器方法,而不是公开它的句柄。
  • 线程调试对象的句柄存储在TEB中DbgSsReserved数组的第二个字段中。
  • DbgUi允许一个线程有一个DebugObject,但是使用本机系统调用允许您做任何您想要做的事情。
  • 大多数dbguiapi是NtXxxDebugObject系统调用的简单包装器,并使用TEB句柄进行通信。
  • DbgUi负责进入附加的进程,而不是内核。
  • DbgUi对调试事件使用自己的结构,内核可以理解这种结构。在某些方面,此结构提供了有关某些事件的更多信息(例如子系统以及这是单步还是断点异常),但在其他方面,缺少某些信息(例如指向线程TEB的指针或单独的调试字符串结构)。
  • TIB(位于TEB的仲裁指针成员中)包含调试事件期间加载的DLL的名称。

Windows本机调试内部组件的更多相关文章

  1. Windows用户模式调试内部组件

    简介 允许用户模式调试工作的内部机制很少得到充分的解释.更糟糕的是,这些机制在Windows XP中已经发生了根本性的变化,当许多支持被重新编写时,还通过将ntdll中的大多数例程作为本地API的一部 ...

  2. C#学习日志 day 5 ------ windows phone 8.1真机调试手机应用

    在vs2013中,可以写windows phone 8.1的程序,但是调试时需要用到windows自带的虚拟机hyper-V 正版的系统开启hyper—V的时候不会有问题,但是盗版的系统可能导致系统不 ...

  3. eros --- Windows Android真机调试

    1.下载并安装JDK 2.下载并安装Android Studio 上面两项不管用weex还是eros都是前置条件,度娘有大量教程. 开始eros 手脚架安装: $ npm i -g eros-cli ...

  4. Windows 下 Hbuilder 真机调试(Android,iphone)

    概述:主要讲讲自己在使用 HBuilder 真机调试功能时遇到的问题,以及如何解决.Android 相对没有遇到什么大问题,在电脑安装如360手机助手就可以正常使用了,主要问题是在 iphone 上( ...

  5. Docker进阶之二:Docker内部组件

    Docker内部组件 一.Namespaces 命名空间,Linux内核提供的一种对进程资源隔离的机制,例如进程,网络,挂载点等资源.    docker run -d busybox ping ba ...

  6. 如何实用便捷的在本地真机调试WEB端HTML5网页

    先简单介绍两款常用但需要一定条件或限制的工具 1.如果你能FQ chrome在32版本后就自带了移动端调度工具,可以在Android直接联调,但唯一遗憾的是,在我大天朝要FQ后才能行的通,我自己试了后 ...

  7. [IOS]从零开始搭建基于Xcode7的IOS开发环境和免开发者帐号真机调试运行第一个IOS程序HelloWorld

    首先这篇文章比较长,若想了解Xcode7的免开发者帐号真机调试运行IOS程序的话,直接转到第五部分. 转载请注明原文地址:http://www.cnblogs.com/litou/p/4843772. ...

  8. xamarin.forms uwp app部署到手机移动设备进行测试,真机调试(device portal方式部署)

    最近学习xamarin.刚好 手上有一个lumia 930.所以试一试把uwp app部署到手机上,并真机调试一把. 目前环境: 1.开发pc电脑是win10,版本1607.加入了insider,所以 ...

  9. 【系统篇】从int 3探索Windows应用程序调试原理

    探索调试器下断点的原理 在Windows上做开发的程序猿们都知道,x86架构处理器有一条特殊的指令——int 3,也就是机器码0xCC,用于调试所用,当程序执行到int 3的时候会中断到调试器,如果程 ...

随机推荐

  1. linux设置定时任务的方法(自己总结)

    Linux设置定时任务步骤 linux设置定时任务的关键字是:crontab 1:查看现在已经有的定时任务的命令是  crontab -l,执行命令如下图: 2:新建定时任务的命令是:crontab ...

  2. BZOJ5312 冒险 势能分析、线段树

    传送门 区间位赋值.区间求最大值似乎是不能够像一般的线段树一样直接打标记的,但是直接暴力也太没有面子了. 我们考虑优化一下暴力:如果说线段树的一段区间内在当前修改的所有位置上所有数都是相同的,那么这个 ...

  3. java之抽象类介绍

    什么抽象方法和抽象类 抽象方法 在类里面定义的没有方法体且用关键字“abstract”来修饰的方法就是抽象方法,所谓的没有方法体指的是在方法声明的时候没有大括号以及其中的内容,而是直接在声明时在方法名 ...

  4. Django:内置组件Content-Type

    12.Django组件之Content_Type 1.帮助我们生成了一张表,里面有所有表名.这样不再自建表在表中填表名,用Foreignkey获取 2.为了让我们快速进入插入数据,填写一个字段Gene ...

  5. Java 之 request 案例——用户登录

    用户登录案例需求: 1.编写login.html登录页面 username & password 两个输入框 2.使用Druid数据库连接池技术,操作mysql,db1数据库中user表 3. ...

  6. 深入理解JVM-hotspot虚拟机对象探秘

    1.背景与大纲 在我们了解了java虚拟机的运行时数据区后,我们大概知道了虚拟机内存的概况,但是我们还是不清楚具体怎么存放的访问的: 接下来,我们将深入探讨HotSport虚拟机在java堆中对象的分 ...

  7. 8 个 Python 实用脚本,赶紧收藏备用!

    脚本写的好,下班下得早!程序员的日常工作除了编写程序代码,还不可避免地需要处理相关的测试和验证工作. 例如,访问某个网站一直不通,需要确定此地址是否可访问,服务器返回什么,进而确定问题在于什么.完成这 ...

  8. php string常用函数

    <?php $a[]='a'; $a[]='b'; $a[]='C'; echo "</br>"; /* implode — 将一个一维数组的值转化为字符串 说明 ...

  9. php的冒泡排序

    有其它语言基础, 这些套路弄起来就是快! 都在注释里~ <?php /** * 冒泡排序 PHP实现 * 原理:两两相邻比较,如果反序就交换,否则不交换 * 时间复杂度:最好 O(n) 最坏 O ...

  10. python图像处理库Pillow基本使用方法

    安装pillow pillow的文档页面,documentation of Pillow 生成一个有单一颜色的图像 from PIL import Image, ImageDraw img = Ima ...