Ring3调试流程

最新推荐文章于 2024-08-10 22:26:44 发布
原创 最新推荐文章于 2024-08-10 22:26:44 发布 · 589 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了调试器如何通过DebugActiveProcess函数附着到目标进程,并利用WaitForDebugEvent等待调试事件的发生,随后通过ContinueDebugEvent来恢复调试过程。文章详细解释了调试过程中涉及的关键API和调试事件类型。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

调试器调试指定进程的流程:


打开调试被调试进程;

while(true)

{

等待调试事件;

处理调试事件;

恢复调试事件;

}

///////////////////////////////////////////////////////////////////////

打开被调试进程:DebugActiveProcess

This function allows a debugger to attach to an active process and then debug it.

BOOL DebugActiveProcess( 

DWORD dwProcessId 

);


等待调试事件:WaitForDebugEvent

This function blocks the debugger thread until a debug event is generated in the target process being debugged or the specified timeout elapses.

BOOL WaitForDebugEvent(

LPDEBUG_EVENT lpDebugEvent

DWORD dwMilliseconds 

);


调试事件的类型与具体信息:DEBUG_EVENT

typedef struct _DEBUG_EVENT { 

  DWORD dwDebugEventCode; //这个表示调试事件的类型

  DWORD dwProcessId

  DWORD dwThreadId

  union { //根据不同的类型 使用不同的结构体

    EXCEPTION_DEBUG_INFO Exception

    CREATE_THREAD_DEBUG_INFO CreateThread

    CREATE_PROCESS_DEBUG_INFO CreateProcessInfo

    EXIT_THREAD_DEBUG_INFO ExitThread

    EXIT_PROCESS_DEBUG_INFO ExitProcess

    LOAD_DLL_DEBUG_INFO LoadDll

    UNLOAD_DLL_DEBUG_INFO UnloadDll

    OUTPUT_DEBUG_STRING_INFO DebugString

    RIP_INFO RipInfo

  } u

} DEBUG_EVENT; 


恢复调试事件:ContinueDebugEvent

This function unblocks the debuggee thread identified by the given thread identifier.

BOOL ContinueDebugEvent(
  DWORD dwProcessId,
  DWORD dwThreadId,
  DWORD dwContinueStatus
);

跟踪 Ring3 - Ring0 的执行流程
11:00 啦
08-22 3560
理论知识SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“快速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000 的系统上,再次之前微软的系统是通过自陷指令 int 0x2E 进入 Ring0 层的系统空间的。 在
180311 逆向-反调试技术(4)SystemKernelDebuggerInformation
whklhhhh的博客
03-23 1100
1625-5 王子昂 总结《2018年3月11日》 【连续第526天总结】 A. 反调试技术(4) B. SystemKernelDebuggerInformation NativeAPI中还有一个函数ZwQuerySystemInformation 当SystemInformation = SystemKernelDebuggerInformation的时候可以判断是否有系统调...
ring3进入ring0跟踪调试
04-11
ring3进入ring0跟踪调试
ollydbg,ring3级别的调试软件
爱码农爱生活
09-16 458
ollydbg,ring3级别的调试软件.基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用ollydbg,而调试驱动可用softice,这个原则虽不绝对,但在大多数情况下是行得通的.以下列举几个比较有用的破解工具.1.调试工具softice2.调试工具Trw20003.反汇编工具Wdasm8.93 4.Hiew5.Visual Basic程序调试工具Smartcheck6.十六进制编...
17.ring3-设置默认调试器
hgy413的专栏
12-02 887
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
调试引擎(ring3)
03-31
自己真在试着完成一个调试引擎。ring3级的。 这个是部分代码和一个测试demo。 相关介绍和最新的代码,你可以在看雪论坛找到。 希望得到你的建议和错误报告。
调试功能<CheckRemoteDebuggerPresent>
weixin_30388677的博客
09-19 406
CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明: __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...
深入探讨ring3ring0的跟踪调试技术
总结来说,ring3进入ring0跟踪调试是高级调试技术,涉及对操作系统保护机制、硬件中断处理、系统调用、以及调试工具的深刻理解。在进行此类调试时,开发者需要具备相应的权限,并确保调试过程的安全性和稳定性。
驱动加载软件,在ring3的exe中加载内核ring0的驱动程序.sys
01-25
这种技术在驱动开发和调试中非常有用,因为它简化了驱动的测试流程,无需每次都重启系统或使用专门的调试工具。然而,这也可能被恶意软件利用,因此操作系统通常会对此类行为进行严格的安全检查,防止未经许可的驱动...
15.ring3-反调试小结
hgy413的专栏
10-13 2812
1.IsDebuggerPresent 检测是否在函数头有普通断点,或是否被挂钩 2.CheckRemoteDebuggerPresent(ProcessDebugPort) 3.NtGlobalFlags,测试发现直接运行工程会提示有调试器,windbg初始附加运行提示有调试器,但windbg中间附加不会提示有调试器,测试失败,但可用. 0:000> dt _PEB -y NtGlobal
渗透测试基础及x64dbg调试器
最新发布
qq_67812668的博客
08-10 1456
x64dbg 是一款开源且免费的 Ring 3 级动态调试器,采用 QT 编写,支持 32 / 64 位程序。其反汇编引擎 BeaEngine 和 Capstone 功能极其强大,也有丰富的插件和脚本功能,且并保持更新,目前已经基本替代了 OllDbg。
[译]The other ways to detect OllyDbg 检测OllyDbg的另类方法
声明:因这个优快云的BLOG莫名其妙地不能发表文章了,请您访问我的新BLOG:roba.blogchina.com,给您造成的不便请原谅
10-29 1733
[译]The other ways to detect OllyDbg 检测OllyDbg的另类方法 这是linhanshi兄放在他的网站上的,我觉得不错就翻译了下,水平很烂,多多包涵!The other ways to detect OllyDbg 检测OllyDbg的另类方法Pumqara作/RoBa[TT]译前言现在是2004年了,RING-3调试器被越来越多地使用,因为它们有图形界面
[ring3反作弊篇] 基于EBP遍历调用栈及模块名
Koma的主页
03-23 2724
[ring3反作弊篇] VC++基于EBP遍历调用栈及模块名 入门级反作弊代码仅供参考~~
180312 逆向-反调试技术(5)NativeAPI
whklhhhh的博客
04-02 398
1625-5 王子昂 总结《2018年3月12日》 【连续第527天总结】 A. 反调试技术(5) B. NativeAPI API的调用过程中,User态和Kernel态的通信仅通过ntdll.dll 换句话说,Win32子系统和兼容的Win16、MSDOS、OS/2等子系统都是通过kernel32.dll或直接调用ntdll.dll的 然后ntdll.dll通过int 0x...
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2748
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
我的反调试记录
王嘟嘟的博客
03-26 597
一个反调试的出现地方。 说明 demo 壳类型 无 出现地方
android 多线程反调试,64位内核开发第五讲,调试调试
weixin_35775608的博客
05-25 217
调试反反调试一丶反调试的几种方法1.DebugPort端口清零debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了也就是说你不能单步了.等相关调试操作了.如果做反调试.开启一个线程.不断的对这个DebugPort进行清零.进而进行反调试.思路:1.找到当前进程的EPROCESS结构2...
.NET CF命令行调试器MDbg入门(四) Attaching to Processes
aawolf = new Mobile.MVP
06-01 5586
 .NET CF命令行调试器MDbg入门(四) Attaching to Processes老狼的话:David Kline是.NET CF团队一位非常优秀的开发者,看到他这个系列文章已经很久了,一直没空翻译。今天用下班后的时间翻译出来,也是希望有个督促,能让这个系列文章让更多朋友认识。原文地址:http://blogs.msdn.com/davidklinems/archive/2006/08/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值