軟件調試學習筆記（一）—— 調試對象

• • 準備工作
  • 調試器與被調試程序
  • DebugActiveProcess
  • • 連接調試器
    • • 分析kernel32!DebugActiveProcess
      • 分析ntdll!DbgUiConnectToDbg
    • 連接被調試進程
    • • 分析kernel32!DebugActiveProcess
      • 分析ntdll!DbgUiDebugActiveProcess
      • 分析nt!NtDebugActiveProcess
      • 分析nt!DbgkpSetProcessDebugObject
  • DebugObject

準備工作

三個系統文件：

kernel32.dll

ntdll.dll

ntoskrnl.exe

Windows源碼（有其中一份就行）：

ReactOS

WRK

調試器與被調試程序

描述：調試器擁有自己的用戶層，被調試程序也擁有自己的用戶層，因此調試器與被調試程序必定通過某種方式連接到一起，才能夠進行通信。

調試器與被調試對象建立聯系的方式：

CreateProcess（創建進程）

DebugActiveProcess（附加進程）

本節主要圍繞附加進程進行學習。

DebugActiveProcess

調試器執行流程：

kernel32!DebugActiveProcess() ↓ kernel32!DbgUiConnectToDbg() ↓ ntdll!DbgUiConnectToDbg() ↓ ntdll!ZwCreateDebugObject() ↓ nt!NtCreateDebugObject()

被調試進程執行流程：

kernel32!DebugActiveProcess() ↓ kernel32!DbgUiDebugActiveProcess(被調試進程句柄) ↓ ntdll!DbgUiDebugActiveProcess(被調試進程句柄) ↓ ntdll!NtDebugActiveProcess(被調試進程句柄,調試器進程TEB+0xF24) ↓ nt!NtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle) ↓ nt!DbgkpSetProcessDebugObject 把調試對象和被調試進程關聯起來

連接調試器

分析kernel32!DebugActiveProcess

分析ntdll!DbgUiConnectToDbg

CreateDebugObject的目的是創建一個DebugObject對象，并存放在TEB(0xF24)。

CreateDebugObject真正的實現位于nt!NtCreateDebugObject。

連接被調試進程

分析kernel32!DebugActiveProcess

分析ntdll!DbgUiDebugActiveProcess

NtDebugActiveProcess的實現位于nt!NtDebugActiveProcess

分析nt!NtDebugActiveProcess

分析nt!DbgkpSetProcessDebugObject

DebugObject

描述：

調試器在調試進程時調用DebugActiveProcess與被調試程序建立連接。

DebugActiveProcess首先在0環創建一個DEBUG_OBJECT結構體作為調試進程與被調試進程建立連接的橋梁。

DEBUG_OBJECT結構體的句柄存放在TEB +0xF24的位置（3環只能存放句柄）

DEBUG_OBJECT的地址存放在被調試進程的EPROCESS.DebugPort中（0環可以存放地址）。

DEBUG_OBJECT的本質是橋。

結構體：

//From ReactOS v3.12 typedef struct _DEBUG_OBJECT {KEVENT EventsPresent;FAST_MUTEX Mutex;LIST_ENTRY EventList;union{ULONG Flags;struct{UCHAR DebuggerInactive:1;UCHAR KillProcessOnExit:1;};}; } DEBUG_OBJECT, *PDEBUG_OBJECT;

總結

以上是生活随笔為你收集整理的软件调试学习笔记（一）—— 调试对象的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。