设计完美断点

说到现场调试,断点是最重要的。通常,在生产环境中解决一个非常复杂的问题需要在本地、非生产环境中调试我自己的一台测试机器。我通常会调试有问题的进程或代码,以便更好地了解它是如何工作的,以及在我进入时需要收集哪些数据。这通常涉及一些逆向工程,并对相关流程或模块进行代码审查。我们总是希望在进行实时调试时尽量减少对生产环境的影响。我称之为设计完美的断点。

我们通常使用几种类型的断点。

最常见的断点是bp,在windbg中设置它很简单:bp 0xaddress。请注意,当您进入用户模式进程时,它会停止进程的执行。当您进入内核调试器时,它会停止整个机器。在这种情况下,我们想知道一旦断点命中,我们将发出什么命令。然后,可以设置断点,以便在插入时自动发出命令。

在遇到断点时运行命令的语法很简单:bp 0xaddress “comand1;command2;…”。例如-bp 0xMYADDRESS “kv;dd g_myGlobal;g” 此命令将在0xMYADDRESS上中断,通过kv转储调用堆栈;将内存转储为从g_MyGlobal地址开始的dword;然后使用g命令继续执行。

另一个很酷的技巧是让一个断点启用或禁用另一个断点或禁用它自己。假设您有一个断点,它太频繁地被命中,以至于每次代码执行时都会中断。但是,一旦满足特定的状态或条件,您可能希望每个调用堆栈都与该断点关联。您所需要做的就是设置一个断点,等待您的关键条件代码执行。然后,这个断点可以启用更昂贵的断点。

示例如下:

bp ntdll!RtlAllocateHeap “kv;g” << 这将是断点1,设置在一个非常常见的调用上。

bd 1 << 禁用断点1,因为在断点2执行之前我们不想看到它的输出。

bp notepad!OpenFile “be 1;g” <<这将在执行NotePad!OpenFile启用断点1

最昂贵的断点类型是ba - 此断点允许您中断对内存或I/O端口的访问。有几种变体:baw(写中断)、bar(读中断)、bae(执行中断)和bai(用于i/O端口)。

让我们用break-on-write作为示例。语法很简单。ba w4 0xNNNNnnnn。这意味着访问中断,访问类型为WRITE,宽度为4字节,后跟目标地址。但是,由于处理器必须监视对该内存的访问,因此通常会减慢执行时间。这可能是您在另一个条件检查期间有条件地使用be启用的断点。
Ba类型的断点在资源更改时非常方便,并且您不知道是什么代码路径触及它。假设你有一个损坏的临界区。不太可能是某个关键部分api导致了损坏。更有可能的是,有什么东西把记忆给改写了。在这种情况下,您可以简单地对关键部分地址执行baw4,后跟一个“kv;g”,然后让进程运行。您将看到critical section api接触critical section的所有位置;但是,您还将看到任何在该内存上写入的违规者。

 

条件断点

您也可以在调试器中的断点执行过程中,使用断点后面的部分中的j命令执行条件中断或检查:bp Address “j EXPRESSION ‘If True Commands1;If True command2’;'Else Command1;Else Command2'”

下面是检查对文件打开操作的调用的示例。断点是在调用后的指令上设置的。

bp notepad!SomeNotePadCodeOpeningAFile+0x132 "j @eax >0 '.echo all is good file opened ok;gc';'!gle;kv;lsa eip;gc'“

如果eax(用于存储函数返回值的默认寄存器)为非零,我们将“all is good,file opened ok”回显到命令输出窗口。如果eax为零(表示失败),则!gle显示最后一个错误,通过kv转储调用堆栈,并使用LSA eip在eip地址列出源。

posted on 2020-10-07 08:25  活着的虫子  阅读(244)  评论(0编辑  收藏  举报

导航