【蛋疼】Windows调试API
phpskycn2012/09/02软件综合 IP:浙江
【前言】
涉及到的部分内容并非来自MSDN,可能存在差错或者不完整之处。
【关键词】
调试 Windows Windows Debug API
【注意】
本文内容适用于Windows NT 5.1及以上版本,X86版系统
【正文】
Windows提供了一系列API用于实现用户层的调试,本文对其进行简单介绍。
一、开始调试
调试的目标是进程,所以首先要得到一个可以被调试的进程。最简单的方法是由调试者创造这个进程。创建进程使用函数CreateProcess。
BOOL WINAPI CreateProcess(
  _In_opt_     LPCTSTR lpApplicationName,
  _Inout_opt_  LPTSTR lpCommandLine,
  _In_opt_     LPSECURITY_ATTRIBUTES lpProcessAttributes,
  _In_opt_     LPSECURITY_ATTRIBUTES lpThreadAttributes,
  _In_         BOOL bInheritHandles,
  _In_         DWORD dwCreationFlags,
  _In_opt_     LPVOID lpEnvironment,
  _In_opt_     LPCTSTR lpCurrentDirectory,
  _In_         LPSTARTUPINFO lpStartupInfo,
  _Out_        LPPROCESS_INFORMATION lpProcessInformation
);
(详情:XXXXXXXXXXXXXXXXXXXXXXXXX/en-us/library/windows/desktop/ms682425(v=vs.85).aspx)
创建时dwCreationFlags参数指定为DEBUG_PROCESS,这样被创建的进程就可被调试,如果需要限定被调试者不包括所创建进程的子进程,可以再加上DEBUG_ONLY_THIS_PROCESS标识。
另外可以通过DebugActiveProcess函数调试一个已运行的进程(具体参考XXXXXXXXXXXXXXXXXXXXXXXXX/en-us/library/windows/desktop/ms679295(v=vs.85).aspx)。
二、接收调试事件
Windows提供的调试依然基于蛋疼的消息机制,即被调试者触发特定事件后,调试者会收到系统发送的相关消息。
通过DEBUG_EVENT结构记录调试事件,里面包含了相关信息。
typedef struct _DEBUG_EVENT {
DWORD dwDebugEventCode;
DWORD dwProcessId;
DWORD dwThreadId;
union {
EXCEPTION_DEBUG_INFO Exception;
CREATE_THREAD_DEBUG_INFO CreateThread;
CREATE_PROCESS_DEBUG_INFO CreateProcessInfo;
EXIT_THREAD_DEBUG_INFO ExitThread;
EXIT_PROCESS_DEBUG_INFO ExitProcess;
LOAD_DLL_DEBUG_INFO LoadDll;
UNLOAD_DLL_DEBUG_INFO UnloadDll;
OUTPUT_DEBUG_STRING_INFO DebugString;
RIP_INFO RipInfo;
} u;
} DEBUG_EVENT, *LPDEBUG_EVENT;
其中dwDebugEventCode记录了DEBUG事件类型,另外的进程/线程ID后面会用到。
DEBUG事件类型和对应的值可以在XXXXXXXXXXXXXXXXXXXXXXXXX/en-us/library/windows/desktop/ms679308(v=vs.85).aspx查看。
通过DEBUG_EVENT结构,可以记录调试信息的详细内容,而WaitForDebugEvent函数则实现对DEBUG_EVENT结构的填充。

BOOL WINAPI WaitForDebugEvent(
  _Out_  LPDEBUG_EVENT lpDebugEvent,
  _In_   DWORD dwMilliseconds
);
第一个参数是指向DEBUG_EVENT结构的指针,第二个参数是等待调试事件的时间,单位为毫秒,特别的,可以指定为INFINITE常数,这样会一直等待到事件发生。
来自:计算机科学 / 软件综合
6
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
phpskycn 作者
12年4个月前 IP:未同步
448220
三、调试事件的处理
回顾一下,前面讲了,可以通过WaitForDebugEvent()函数填充DEBUG_EVENT结构获取DEBUG事件,下面介绍对于事件的处理。
处理无非分为两种:作出适当处理后继续运行被调试者或者终止被调试者运行。
Windows Debug API中通过ContinueDebugEvent()处理调试事件。
BOOL WINAPI ContinueDebugEvent(
  _In_  DWORD dwProcessId,
  _In_  DWORD dwThreadId,
  _In_  DWORD dwContinueStatus
);
前面两个参数在DEBUG_EVENT结构中包含,最后一个参考:XXXXXXXXXXXXXXXXXXXXXXXXX/en-us/library/windows/desktop/ms679285(v=vs.85).aspx。
一般选择DBG_CONTINUE使被调试者继续运行。
四、DEBUG循环
通过建立一个DEBUG循环,可以实现对DEBUG事件的动态处理。通过一个循环+switch...case结构,可以很好地完成。

STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
CreateProcess("C://1.exe",NULL,NULL,NULL,false,DEBUG_PROCESS | DEBUG_ONLY_THIS_PROCESS|CREATE_NEW_CONSOLE,NULL,NULL,&si,&pi);
cout<<"[s:9]roccess Creat"<<endl;
DEBUG_EVENT dbe;
while(true){
                                WaitForDebugEvent(&dbe,INFINITE);
        switch(dbe.dwDebugEventCode){
        case CREATE_PROCESS_DEBUG_EVENT:
            //Do what you want.
             ContinueDebugEvent(dbe.dwProcessId,dbe.dwThreadId,DBG_CONTINUE);
        case LOAD_DLL_DEBUG_EVENT:
            //Do what you want.
             ContinueDebugEvent(dbe.dwProcessId,dbe.dwThreadId,DBG_CONTINUE);
        case EXCEPTION_DEBUG_EVENT:
            cout<<"EXCEPTION!"<<endl;
            ContinueDebugEvent(dbe.dwProcessId,dbe.dwThreadId,DBG_CONTINUE);
        case EXIT_PROCESS_DEBUG_EVENT:
            cout<<"[s:9]orocess Exit!"<<endl;
                                                ContinueDebugEvent(dbe.dwProcessId,dbe.dwThreadId,DBG_CONTINUE);
            break;
        default:
            ContinueDebugEvent(dbe.dwProcessId,dbe.dwThreadId,DBG_CONTINUE);
        }
    
    }
TerminateProcess(pi.hProcess,-1);

循环开始的时候完成对事件的获取,接下来在switch...case结构中进行判断和处理。
五、更多
我们的调试器还能实现更多功能,除了利用进程句柄管理其内存外,还可以通过GetThreadContext()填充CONTEXT结构获取某线程的寄存器内容,甚至还可以通过SetThreadContext()来修改。

BOOL WINAPI GetThreadContext(
  _In_     HANDLE hThread,
  _Inout_  LPCONTEXT lpContext
);

BOOL WINAPI SetThreadContext(
  _In_  HANDLE hThread,
  _In_  const CONTEXT *lpContext
);

typedef struct _CONTEXT
{
      DWORD   ContextFlags;
      DWORD   Dr0;        
      DWORD   Dr1;        
      DWORD   Dr2;        
      DWORD   Dr3;        
      DWORD   Dr6;        
      DWORD   Dr7;        
      FLOATING_SAVE_AREA FloatSave;        
      DWORD   SegGs;        
      DWORD   SegFs;        
      DWORD   SegEs;        
      DWORD   SegDs;        
      DWORD   Edi;        
      DWORD   Esi;        
      DWORD   Ebx;        
      DWORD   Edx;        
      DWORD   Ecx;        
      DWORD   Eax;        
      DWORD   Ebp;        
      DWORD   Eip;        
      DWORD   SegCs;      
      DWORD   EFlags;        
      DWORD   Esp;        
      DWORD   SegSs;
}CONTEXT;
Eip也可以修改,可以通过它在直接控制被调试程序的运行,当然修改EFlags也可以。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
我说要有光
12年4个月前 IP:未同步
448251
记得一本讲python调试器的书里有讲过这个。。。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
phpskycn作者
12年4个月前 IP:未同步
448543
回 2楼(我说要有光) 的帖子
感觉M$很多东西没公开,WinDBG那么强的的功能……
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
金坷居士
12年4个月前 IP:未同步
451512
回 2楼(我说要有光) 的帖子
学校最近在学Python....
感觉这东西对空格巨敏感......
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
我说要有光
12年4个月前 IP:未同步
451633
回 4楼(金坷居士) 的帖子
python2还是python3?
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
.........
12年4个月前 IP:未同步
451655
回 4楼(金坷居士) 的帖子
严谨是好事
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
所属分类
上级专业
同级专业
phpskycn
专家 老干部 学者 机友 笔友
文章
402
回复
4591
学术分
8
2009/03/15注册,2个月6天前活动

CV

主体类型:个人
所属领域:无
认证方式:手机号
IP归属地:未同步
文件下载
加载中...
{{errorInfo}}
{{downloadWarning}}
你在 {{downloadTime}} 下载过当前文件。
文件名称:{{resource.defaultFile.name}}
下载次数:{{resource.hits}}
上传用户:{{uploader.username}}
所需积分:{{costScores}},{{holdScores}}下载当前附件免费{{description}}
积分不足,去充值
文件已丢失

当前账号的附件下载数量限制如下:
时段 个数
{{f.startingTime}}点 - {{f.endTime}}点 {{f.fileCount}}
视频暂不能访问,请登录试试
仅供内部学术交流或培训使用,请先保存到本地。本内容不代表科创观点,未经原作者同意,请勿转载。
音频暂不能访问,请登录试试
支持的图片格式:jpg, jpeg, png
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}