调试器编写第一讲,调试器基本框架
调试器编写第一讲,调试器基本框架
作者:IBinary
出处:http://www.cnblogs.com/iBinary/
版权所有,欢迎保留原文链接进行转载:)
今天开始调试器第一讲,调试器的基本框架,我们用过很多调试器,比如 WinDbg,OllyDbg,那为什么我们还要自己编写调试器哪?
原因是,OllyDbg等等的各种调试器都太容易被针对了,写调试器,主要是理解别人怎么反调试,并且我们怎么在安全开发的时候,让我们的软件针对调试器.今天就开始调试器第一讲,调试器的基本框架
很多人认为调试器怎么写,没思路,其实调试器就是调用API,熟练运用这些API,则可以进行软件调试
一丶写调试器注意的问题
首先,我们思考一个问题,我们要调试我们的程序,要怎么让我们的程序知道被调试了
是这样的,微软已经帮我们提供了API了,比如我们常用WriteProcessMemory这个API,想一下,微软怎么可能提供在别人进程里面写内存的API哪?
其实这个就是调试器用的,只不过被我们玩坏了.
那么我们MSDN搜索一下这个API,就可以找到所有和调试器相关的API
可以在下方看到,所以和调试器相关的API了.
API就怎么多,熟练运用即可.
二丶调试器API各个API的意思
这里介绍下各个API的意思,并不细讲,等到用到的时候才会细讲怎么用.主要是熟悉一下,算是翻译一下API吧.
/* ContinueDebugEvent :看名字就知道,继续调试事件,意思就是调试程序的时候有事件来,你处理完了要继续. DebugActiveProcess :调试程序,附加进程,这个API就是,如果我们的程序打开了,那么调用这个API,传入进程ID是可以附加调试的. DebugActiveProcessStop :停止调试器,调试的指定进程,也就是调试器要停止对某一个进程的调试 debugBreak :如果程序处于调试的状态,,如果发生断点异常(下断点),允许线程,通知我们的调试器来调试,处理这个异常.否则系统接收
DebugBreakProcess :在指定的进程中,产生一个断点异常
DebugSetProcessKillOnExit :设置调试的线程,退出的时候进行的操作. FatalExit :强制退出调用的进程,并将控制权交给调试器 FlushInstructionCache :刷新指令的高速缓存 GetThreadContext :获取寄存器的信息,具体获取那个,要设置标志位,标志位在注释中(MSDN查不到) GetThreadSelectorEntry :获取指定选择器和线程的描述的入口表. IsDebuggerPresent :判断进程是否在调试器下面运行(和我们前面说的反调试那个差不多,都是判断调试是否运行) OutPutDebugString :调试输出字符串. ReadProcessMemory :读取指定进程的某块数据 SetThreadContext :设置寄存器 WaitForDebugEvent :等待调试事件 WriteProcessMemory :往指定进程写某块数据 */
三丶查阅MSDN,看下调试器的说明
我们要调试一个程序,第一步就要创建这个程序,那么创建程序是用CreateProcess,那么我们看下MSDN有没有特别说明
随便进去一个调试的API,看到下方说了一个基本的调试,点击去看看.
第一个说,关于基本调试,也就是介绍一下
第二个说,调试的参考,我们先看下第一个怎么说把
可以看到,他告诉了我们,关于基本调试个各种步骤.
第一个: 说的是,调试的函数,也就是上面的我们那些调试API
第二个: 说的是,调试的时候,进程,线程,和异常函数的各种特性,也就是说调试进程,线程,还有异常的时候,该怎么做.
第三个: 告诉了我们使用基本的调试函数可以创建一个基本的调试器.这些函数,可以下断点,异常等等.
第四个: 这个则是告诉了我们,调试程序的时候来的各种事件.
看下第二个把,调试的时候的各种特性.
说的是,进程函数,线程函数,异常函数,我们现在首要任务是调试进程,所以看第一个
告诉了我们,要调试一个进程,你要用CreateProcess,并且要设置标志为上面画框框的地方.
下面还说了,我们要还可以通过OpenPeocess获得一个进程ID,通过DebugActiveProcess附加这个进程调试.
那么我们现在知道了,要调试一个程序,首先要创建进程,并且给出特定的参数.
四丶编写调试器的基本框架(汇编编写,C/C++一样编写)
我们知道了,要调试一个程序,要先创建进程,然后我们应该要等待事件的到来,进行处理,如果是否继续处理,交给
ContinueDebugEvent
开始编写程序:
RadAsm创建控制台程序
汇编代码
1.创建调试进程
LOCAL @si:STARTUPINFO LOCAL @di:PROCESS_INFORMATION mov @si.cb,sizeof STARTUPINFO ;创建调试进程 invoke CreateProcess,offset g_szAppName,NULL,NULL,NULL,FALSE,DEBUG_PROCESS,NULL,NULL,addr @si,addr @di
CTRL + D 调试,看下计算器是否启动.
2.调用调试函数,等待事件到来.
注重第一个参数,说了一个DEBUG_EVENT,看下这个结构体
typedef struct _DEBUG_EVENT { DWORD dwDebugEventCode; DWORD dwProcessId; DWORD dwThreadId; union { EXCEPTION_DEBUG_INFO Exception; CREATE_THREAD_DEBUG_INFO CreateThread; CREATE_PROCESS_DEBUG_INFO CreateProcessInfo; EXIT_THREAD_DEBUG_INFO ExitThread; EXIT_PROCESS_DEBUG_INFO ExitProcess; LOAD_DLL_DEBUG_INFO LoadDll; UNLOAD_DLL_DEBUG_INFO UnloadDll; OUTPUT_DEBUG_STRING_INFO DebugString; RIP_INFO RipInfo; } u; } DEBUG_EVENT, *LPDEBUG_EVENT;
说了异常来的时候,这个结构体会有异常的代码,进程的ID,线程的ID,以及根据不同异常,产生不同的结构体
(因为是共用体,所以什么异常来了,就会有不同的结构体,保存了不同的异常信息)
举个例子,第一个:
异常信息是EXCEPTION_DEBUG_EVENT 表示调试的时候异常信息事件来了,我们看下它的结构体是什么
typedef struct _EXCEPTION_DEBUG_INFO { EXCEPTION_RECORD ExceptionRecord; DWORD dwFirstChance; } EXCEPTION_DEBUG_INFO, *LPEXCEPTION_DEBUG_INFO;
它的结构体则保存了和异常信息,什么的,(和筛选器异常的结构体差不多.)
上面一个框是一个参数,下面说了,只有线程,被创建调试进程的时候才能用,也就是创建调试进程使用.
下面有例子,抄例子
我就不截图看了.
直接编写汇编代码:
assume ecx:ptr DEBUG_EVENT ;EXCEPTION_DEBUG_EVENT 代表我不处理,DBG_CONTINUE代表我处理,这就是OD的F9运行起来的功能 .while TRUE invoke WaitForDebugEvent,addr @DebugEv,INFINITE ;等待事件到来 lea ecx,@DebugEv ;结果放到ecx当中,因为ecx已经假设为DebugEvent结构体了 mov ebx,[ecx].dwDebugEventCode ;将结构体的异常代码给ebx,然后下方通过ebx判断是哪个事件来了 .if ebx == EXCEPTION_DEBUG_EVENT ;检测事件是什么 invoke crt_puts,offset g_szEcpt mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == CREATE_THREAD_DEBUG_EVENT invoke crt_puts,offset g_szEcpt mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == CREATE_PROCESS_DEBUG_EVENT invoke crt_puts,offset g_szEcpt mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == EXIT_THREAD_DEBUG_EVENT invoke crt_puts,offset g_szEcpt mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == EXIT_PROCESS_DEBUG_EVENT mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == LOAD_DLL_DEBUG_EVENT mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == UNLOAD_DLL_DEBUG_EVENT mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .elseif ebx == OUTPUT_DEBUG_STRING_EVENT mov @dwContinueStatus,EXCEPTION_DEBUG_EVENT .endif invoke ContinueDebugEvent,[ecx].dwProcessId, [ecx].dwThreadId, ;继续处理事件 @dwContinueStatus .endw
代码很简单,利用waitforDebugEvent获取异常代码,然后异常代码给ebx,通过ebx模拟switch,看看那个异常事件回来.当然,汇编代码会放到课堂资料中,带着C代码一起发布,这里只是简单解释一下.
五丶异常事件是什么
上面说了,异常事件和ebx(异常代码比较)那么分别代表什么意思?
EXCEPTION_DEBUG_EVENT :被调试的调试程序的时候来,会在调试的程序中下一个int3断点.如果被调试的时候,则回来,属于系统断点
CREATE_THREAD_DEBUG_EVENT :被调试的程序创建线程的时候会来
CREATE_PROCESS_DEBUG_EVENT :被调试的程序创建进程的时候会来
EXIT_THREAD_DEBUG_EVENT :被调试的程序退出线程的时候会来
EXIT_PROCESS_DEBUG_EVENT :被调试的程序退出进程的时候会来
LOAD_DLL_DEBUG_EVENT :被调试的程序加载DLL的时候会来
UNLOAD_DLL_DEBUG_EVENT :被调试的程序卸载DLL会来
OUTPUT_DEBUG_STRING_EVENT :被调试的程序调试输出的时候会来
RIP_EVENT :64位系统的事件,如果编写32位调试器,这个则不重要.
今天主要是讲了一个框架,具体可以回去自己写一下就明白,很简单.
课堂资料:
链接:http://pan.baidu.com/s/1jHDJOUU 密码:mbn4
作者:IBinary
出处:http://www.cnblogs.com/iBinary/
版权所有,欢迎保留原文链接进行转载:)
坚持两字,简单,轻便,但是真正的执行起来确实需要很长很长时间.当你把坚持两字当做你要走的路,那么你总会成功. 想学习,有问题请加群.群号:725864912(收费)群名称: 逆向学习小分队 群里有大量学习资源. 以及定期直播答疑.有一个良好的学习氛围. 涉及到外挂反外挂病毒 司法取证加解密 驱动过保护 VT 等技术,期待你的进入。
详情请点击链接查看置顶博客 https://www.cnblogs.com/iBinary/p/7572603.html
本文来自博客园,作者:iBinary,未经允许禁止转载 转载前可联系本人.对于爬虫人员来说如果发现保留起诉权力.https://www.cnblogs.com/iBinary/p/7604693.html
欢迎大家关注我的微信公众号.不定期的更新文章.更新技术. 关注公众号后请大家养成 不白嫖的习惯.欢迎大家赞赏. 也希望在看完公众号文章之后 不忘 点击 收藏 转发 以及点击在看功能. QQ群: