利用Win32 Debug API打造自己的Debugger

最新推荐文章于 2025-03-07 21:55:05 发布
最新推荐文章于 2025-03-07 21:55:05 发布
阅读量1.7k 收藏 6
点赞数 2
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: api exception windows 数据结构 dll thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2206656
版权
本文详细介绍了如何利用Win32 Debug API创建Debugger,涵盖了CreateProcess、WaitForDebugEvent、ContinueDebugEvent等关键函数的使用,以及DEBUG_EVENT结构的解析。文章通过示例代码展示了基本的调试框架,并探讨了如何处理异常事件,如EXCEPTION_BREAKPOINT和EXCEPTION_SINGLE_STEP。文章结尾鼓励读者深入学习和应用Debug API以开发更强大的调试工具。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 原理篇: http://blog.csdn.net/hackwaly/archive/2007/03/26/1542075.aspx 很多朋友都梦想有自己的Debugger程序,今天我们就来自己制作一个。作为一个Debugger程序,其最基本的功能框架其实就是完成2件事情:
 启动目标程序。
 实时监控目标程序的运行,并做出相应的应对。
我们要打造自己的Debugger程序,实际上也只需要完成这两个功能就可以了。当然,要完成这两个特定的功能,我们不可能从头开始造轮子,要首先看看操作系统给我们提供了什么样的基础设施:
由于我们是在Windows平台上工作,自然离不开微软公司提供的文档大全——MSDN。翻开MSDN,定位到“Debugging and Error Handling”,一些最基本的Windows Debug信息都在这里面。不过与其他栏目相比,这个栏目的信息明显显得单薄许多——也许越是底层、强大的技术,微软越不想公开吧。
初步浏览之后,我们可以确定,对于我们的Debugger而言,最重要的Debug API有如下几个:
 CreateProcess —— 用于创建被调试进程
 WaitForDebugEvent —— Debug Loop(调试循环)的主要构成函数
 ContinueDebugEvent —— 用于构成Debug Loop
 GetThreadContext —— 得到被调试进程的寄存器信息
 SetThreadContext —— 设置被调试进程的寄存器信息
 ReadProcessMemory —— 得到被调试进程的内存内容
 WriteProcessMemory —— 设置被调试进程的内存内容
最重要的数据结构有如下几个:
 CONTEXT —— 寄存器结构
 STARTUPINFO —— Start信息
 PROCESS_INFORMATION —— 进程相关信息
 DEBUG_EVENT —— Debug Event(调试事件)结构
可以说,我们的Debugger程序就是利用这几个API函数结合下面的几个数据结构,完成我们指定的功能。那么下面就让我们先来看看这几个API和数据结构的具体含义:

 

Debug API解析
在这里,我们将对上面所述的几个Debug调试API做一个检阅式的考察,大概介绍一下每个API的应用领域。而将这些API应用到具体实践中去,将会在下一部分“实例解析”中,给出详细的说明。
1.CreateProcess。
函数原型:BOOL CreateProcess(
LPCTSTR lpApplicationName, // 要创建的进程模块名
LPTSTR lpCommandLine, // 命令行字符串
LPSECURITY_ATTRIBUTES lpProcessAttributes, // 进程安全属性
LPSECURITY_ATTRIBUTES lpThreadAttributes, // 线程安全属性
BOOL bInheritHandles, // 句柄继承选项
DWORD dwCreationFlags, // 进程创建选项
LPVOID lpEnvironment, // 进程环境块数据指针
LPCTSTR lpCurrentDirectory, // 当前目录名
LPSTARTUPINFO lpStartupInfo, // 启动信息
LPPROCESS_INFORMATION lpProcessInformation // 进程信息
);
函数解析:该函数是Windows平台提供的最基本的创建进程的函数。每当我们双击一个EXE可执行文件,Windows内核就会自动调用该函数创建我们双击的文件所对应的进程。该函数中,最重要的参数有三个:一个是进程模块名,指明了要创建哪个进程;一个是进程创建选项,指明了要如何创建目标进程;对于Debugger程序而言,最常用的创建选项就是:DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS。最后还有一个就是进程信息,我们调用CreateProcess创建了进程以后,Windows会将新创建的进程的相关信息全部放到ProcessInfo信息块中,我们在Debug Loop调试循环中使用进程信息块中的数据与目标进程交互,监视和控制目标进程的动作。
2.WaitForDebugEvent。
函数原型:BOOL WaitForDebugEvent(
LPDEBUG_EVENT lpDebugEvent, // Debug Event(调试事件指针)
DWORD dwMilliseconds // 超时设置
);
函数解析:该函数构成了Debug Loop调试循环的主体,一个Debugger程序在创建出目标进程后,一般都会紧接着循环调用该函数等待目标进程的各种调试信息,这个循环调用WaitForDebugEvent的过程,我们就称之为Debug Loop调试循环。调试循环是所有Debugger程序的主
最低0.47元/天 解锁文章
win32 调试 API 学习总结
bcbobo21cn的专栏
04-08 1089
Win32调试API原理 来自《软件技术加密内幕》和chm版本不太一样  在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试APIWin32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的
Flutter - Win32程序是如何执行main函数
yezishuang的博客
09-15 725
Windows平台上,是如何启动dart的main函数
Win32调试API原理
hackwaly的专栏
03-26 4383
  来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试APIWin32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的修改,包括进程内存、线程的
Windows Debug常见设置
xiaopangzi313的专栏
12-30 813
Windows Debug常见设置
编写一个简易调试器
WLINX
05-17 2370
菜鸡的日常,复习一下调试器,简单CV点代码,调试器调试程序有两种方式,一种是创建进程,另一种便是附加: while (TRUE) { printf("1.创建新的调试进程\n"); printf("2.附加待调试的进程\n"); int input = 0; scanf_s("%d", &input); if (input == 1) { printf("请输入调试进程的路径:\n"); char Path[MAX_PATH] = { 0 }; scanf
Windows高级调试(学习笔记)-第二章-调试器介绍
图南堂
01-17 1657
调试器简介、基本调试任务、Windbg基础命令
调试工具 - Windbg
最新发布
dxf1971738522的博客
03-07 3984
基于Windbg的dump文件分析和内核驱动调试
利用Win32 API进行Windows服务编程
# 1. 简介 ## 1.1 定义Windows服务 Windows服务是在Windows操作系统中以后台形式运行的程序。它们通常在系统启动时自动启动,并在后台持续运行,即使没有...在Windows服务开发中,可以使用Win32 API来操作系统和资
最新版immunitydebugger 官网下载,保证安全
03-20
10. **调试协议支持**:它支持多种调试协议,如远程调试(如通过COM端口或网络)和本地Win32调试API。 在下载并安装Immunity Debugger 1.85时,请确保从官方渠道获取,以避免潜在的恶意篡改。安装后,用户可以参考...
WinDebug的一些基本使用命令
拥抱变化
09-17 2万+
查看当前线程的调用堆栈  kb 查看全部线程的调用堆栈 ~*kb 显示分析的详细信息 !analyze -v  继续执行 g 查看线程详细信息,例如线程入口地址 ~21 (数字代表线程id) 查看变量地址 x 变量名,可以用通配符 例如 x 05memcorrupt!g_* 用给定类型查看对象 dt 类型名 地址 例如 dt
Syser Debugger
02-07
当今最强32位系统级调试器! Syser Debugger 是基于X86平台专门为 Windows NT 架构的系统开发的内核级和应用级全图形界面的调试器.支持二进制汇编级调试和原代码级调试. Syser Debugger 支持 Windows 应用程序和 Windows 驱动程序的调试. Syser Debugger 完美的把 IDA Pro 和 Softice 以及 Ollydbg 的功能相结合,使操作 更加方便快捷.功能更加强大. 系统需求: 1.586/100 以上处理器(586/300+ 建议) 2.操作系统需求 Windows 2000,Window XP,Windows 2003或更新的版本。 3.至少256MB 物理内存 4.至少 5MB 的空闲磁盘空间 5.VGA 显卡。(分辨率 640*480 至少 16bit (65536)色) 6.鼠标或兼容的点设备.(PS2 Mouse,USB Mouse,TouchPad,TrackPoint) 程序特性: 1. 彩色反汇编支持. 2. 原代码级调试支持语法配色. 3. 原代码级调试支持原代码与汇编指令折叠式对映. 4. 支持动态加载与卸载. 5. 全键盘操作支持.(如果在没有鼠标设备的情况所有操作都可以用键盘来操作) 6. 全鼠标操作支持.(在没有键盘设备的情况可以用鼠标控制所有操作) 7. 命令兼容Softice 8. 多语言支持,底层全 unicode 实现. 9. 插件机制支持. 10. 多 CPU 的支持,支持 Intel Hyper-Threaded processors. 11. 支持启动脚本.(类似于批处理文件) 12. 支持剪切板功能,在3环拷贝数据到 0 环调试器中. 13. 可以和Softice和平共处.Softice 在 Syser 之后启动.Syser 也可以卸载. 甚至可以调试 softice. 14. PDB 调试符号文件的全面支持. 15. 自动装载驱动程序调试. 16. 支持调试时增加注释. 17. 支持书签功能. 18. 在反汇编窗口支持地址导航功能,通过鼠标双击快速浏览不同函数. 19. 原代码调试支持快速变量查看,通过移动鼠标到变量名上可以查看变量类型以及变量值. 20. Syser 实现了 IDA 和 Softice 以及 ollydbg 功能的完美结合. 21. 支持地址交叉引用列表. 22. 支持数据引用列表. 23. 支持 TouchPad,TrackPoint 点设备的高级处理模式. 24. 支持多数据窗口. 25. 支持多代码窗口方便汇编代码的浏览. 26. 支持 ollydbg 的 run trace 跟踪方式. 27. 调试符号文件的自动生成和自动加载机智。省去了 softice 原代码调试的   烦琐步骤.如果你开发和调试使用同一台机器.在你不改变原代码存放目   录的情况下,你只要在你编译出的可执行文件上点鼠标右键,在右键弹出菜单   中选择用 Debug with Syser 菜单项就可以进入我们的调试器进行原代码级   或汇编级调试。
WinDBG 常用调试命令总结
CSDN
06-10 1万+
Windbg(Windows Debugger)是一款由Microsoft开发的用于Windows操作系统的强大调试工具。它主要用于分析和调试Windows应用程序、驱动程序以及操作系统本身的问题。Windbg提供了许多功能和命令,可用于诊断和解决各种软件和硬件问题,包括崩溃、死锁、性能问题等。
winDebug 调试
qq_57283958的博客
04-07 4837
调试
Windows调试工具入门 — 1
eqera的专栏
11-28 6643
一、  引子 Debugging Tools for Windows是微软发布的一套用于软件调试的工具包(后面如果没有指明,那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目,由于进行了IDT中键盘鼠标中断的Hook,使用Softice调试时造成会造成影响,只得使用WinDbg通过串口进行双机调试。自此之后这个Windows平台下最为强大的调试工具一直
(精华)2020年9月6日 .NET Core 程序调试Windbg(基本使用)
热门推荐
时光隧道
09-02 46万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
Backbone Debugger 使用指南
gitblog_00200的博客
09-05 328
Backbone Debugger 使用指南 Backbone-DebuggerChrome Developer Tools extension for debugging Backbone.js applications项目地址:https://gitcode.com/gh_mirrors/ba/Backbone-Debugger 1. 项目目录结构及介绍 Backbone Debugger ...
在DOS或Windows环境中,使用工具Debug
weixin_52326703的博客
10-28 1319
如果你使用的是不同的汇编开发环境,如MASM、NASM、TASM等,通常它们都提供了自己的调试工具或集成了调试功能,你可以根据特定工具的文档来学习如何在该工具中进行汇编代码的调试。请注意,Debug工具是一个相对古老的工具,可能不支持一些现代的功能,但它仍然可以用于简单的汇编代码调试。如果你使用的是其他汇编调试器,步骤会有所不同,但基本的调试原则是相似的。如果程序在执行期间出现错误或你想查看某个特定位置的变量值,可以使用 p 命令查看寄存器和内存中的数据。你的代码会一步一步执行,显示每一行代码的执行情况。
Win32调试API(3)
Civet148的专栏
05-06 1542
理论:如果你以前使用过调试器,那么你应对跟踪比较熟悉。当"跟踪"一个程序时,程序在每执行一条指令后将会停止,这使你有机会去检查寄存器/内存中的值。这种单步运行的官方定义为跟踪(tracing)。单步运行的特色是由CPU本身提供的。标志寄存器的第8位称为陷阱标志trap flag。如果该位设置,则CPU运行于单步模式。CPU将在每条指令后产生一个debug异常。当debug 异常产生后,陷阱标志自动
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值