摘要:
这不是什么新鲜事。许多书都写得很详细。然而,有些人问如何通过简单地拔下VS来断开进程。例如,使用windg开始调试记事本。在exe的情况下,首先要断开的是ntdll!如何实现调试器附加函数和正在中断的进程?调试器将调用此函数在目标进程中创建线程。此线程执行的代码如下:00adffc87c951e40ntdll!当CPU执行int3指令时,它将触发异常处理。最后,调试器将处理异常并挂起进程中的所有线程。
不是什么新鲜的东西,很多书上写的非常详细了,不过有人问到,简要的扯下这个VS如何断下进程的。
++++++++++++++++++++++++++
当用VS的时候,按下F10后,为什么能够停在程序的入口处呢?
这个问题首先从windows API CreateProcess的Process Creation Flags说起。如果在创建进程的时候加了这个DEBUG_PROCESS这个flag. 那么进程环境块(Process environment block, 简称PEB)中的BeingDebugged设为1. 如果用Windbg的命令!peb来看的话
0:000> !peb
PEB at 7ffd8000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: Yes <== 这个是yes.
PEB at 7ffd8000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: Yes <== 这个是yes.
下一步是LdrpInitializeProcess函数被调用来初始化进程的时候,这个函数会去检查BeingDebugged这个位,如果为1的话,就会调用函数ntdll!DbgBreakPoint这个函数。
比如说用windbg来开始调试notepad.exe的话,首先断下来的地方在ntdll!DbgBreakPoint函数里
0:000> kL
ChildEBP RetAddr
0007fb1c 7c940442 ntdll!DbgBreakPoint
0007fc94 7c9210af ntdll!LdrpInitializeProcess+0xffa
0007fd1c 7c90e457 ntdll!_LdrpInitialize+0x183
00000000 00000000 ntdll!KiUserApcDispatcher+0x7
ChildEBP RetAddr
0007fb1c 7c940442 ntdll!DbgBreakPoint
0007fc94 7c9210af ntdll!LdrpInitializeProcess+0xffa
0007fd1c 7c90e457 ntdll!_LdrpInitialize+0x183
00000000 00000000 ntdll!KiUserApcDispatcher+0x7
这个函数非常简单,只有一个int 3指令。
ntdll!DbgBreakPoint:
7c90120e cc int 3
7c90120f c3 ret
7c90120e cc int 3
7c90120f c3 ret
这里是任何debuger第一次断下来进程的地方。无论是windbg还是VS.
在这个时候notepad.exe的binary已经被load到内存里面了,但是还没有开始执行。这个时候VS就可以加载符号文件,并且知道用户写的代码的入口在什么地方。于是在入口处设下一个断点,然后直接恢复进程的执行,而用户并不会察觉到其实VS debuger已经中断过进程一次了,而是直接发现程序停在了main处。
哪么调试器的attach功能,和break当前被调试的进程又是如何实现的呢?程序已经跑起来了,这个时候可能没有被设置任何一个断点。
这个是利用Windows API CreateRemoteThread来实现的。调试器会调用这个函数在目标进程中创建一个线程,这个线程执行的代码如下:
00adffc8 7c951e40 ntdll!DbgBreakPoint
00adfff4 00000000 ntdll!DbgUiRemoteBreakin+0x2d
00adfff4 00000000 ntdll!DbgUiRemoteBreakin+0x2d
还是ntdll!DbgBreakPoint这个函数,由于这个函数里面有个int 3指令。CPU执行到了int 3指令的时候就会触发异常处理,最终debuger会处理这个异常,并且把进程中的所有线程挂起。
在windbg中可以看到notepad.exe被断下来以后有2个线程:
0:001> ~*
0 Id: 4b8c.3dd4 Suspend: 1 Teb: 7ffde000 Unfrozen
Start: notepad!WinMainCRTStartup (0100739d)
Priority: 0 Priority class: 32 Affinity: 3
. 1 Id: 4b8c.4c14 Suspend: 1 Teb: 7ffdd000 Unfrozen
Start: ntdll!DbgUiRemoteBreakin (7c951e13)
Priority: 0 Priority class: 32 Affinity: 3
0 Id: 4b8c.3dd4 Suspend: 1 Teb: 7ffde000 Unfrozen
Start: notepad!WinMainCRTStartup (0100739d)
Priority: 0 Priority class: 32 Affinity: 3
. 1 Id: 4b8c.4c14 Suspend: 1 Teb: 7ffdd000 Unfrozen
Start: ntdll!DbgUiRemoteBreakin (7c951e13)
Priority: 0 Priority class: 32 Affinity: 3
线程0就是notepad本身的main thread.
线程1就是远程创建的线程。
当然在VS debuger里面不会看到ntdll!DbgBreakPoint这个函数,因为VS比较友好,会自动把当前处理了的线程切换到main thread上面。