码迷,mamicode.com
首页 > 其他好文 > 详细

03 调试事件的处理

时间:2019-11-30 09:44:19      阅读:68      评论:0      收藏:0      [点我收藏+]

标签:nbsp   处理   发送   查找   href   为什么   enc   关于   net   

【太多事情要做了,这部分难度对我来说又很大,先写一下大体框架,到时候具体函数逆向分析过程给写出来】

 

问题:

1. 建立被调试程序时接收的第一个调试事件是什么?

2. 该事件在内核中的生成流程是什么?

3. 其初始化下断点时如何判断是否是被调试程序(而不是一般程序)?

4. 关于调试的内核函数中为何要发送虚假消息(**fake**)?

 

一、创建进程时的第一个调试事件

  一个简单的创建被调试进程的案例

  在这个例子中,简单地以调试模式打开 记事本.exe, 发现其首先会接收到一个异常事件。

  技术图片

  当调试进程创建或附加被调试进程之后,其会在被调试进程中下一个int 3断点。

  其函数的经过如下:(注:当函数太大时,可以通过 IDA的Cross Reference 函数来逆向推出被调试程序)

  技术图片

 

  注意:在内核中进程的初始化一般都会调用 LdrpInitializeProcess,但不是每个进程都会被下断点。

  如下图,其会检测 PEB+0x2处

  技术图片

 

二、 发送虚假消息

  当某一进程以附加的形式调试时,其会调用 DebugActive 之类的函数。

  在函数内部会发送假消息,为什么需要发送假消息呢? 

  因为该进程已经被创建,DLL模块也已经被加载了。

  但调试器需要其DLL模块等被调试程序的信息,此时被调试进程需要发送虚假的消息,其实就是遍历TEB链表查找各种DLL模块。

  那么这个可靠吗?

  当然不可靠,我们之前就有一篇在R3层的隐藏TEB 利用C++实现模块隐藏(R3层断链) 

 

03 调试事件的处理

标签:nbsp   处理   发送   查找   href   为什么   enc   关于   net   

原文地址:https://www.cnblogs.com/onetrainee/p/11961237.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!