DrX调试寄存器使用 二
上一篇文章中,初步介绍了DrX的最简单的使用方法,由于操纵的对象是DrX寄存器,所以采用的编程语言是最接近硬件的汇编语言。使用汇编语言有优点:对于寄存器的操作一目了然、而且很能给人控制一切的感觉;但是其缺点也不容忽视:代码的封装性和可复用性太差。在接下来的文章里面,我会在逐步介绍DrX寄存器使用的同时,改用C或者是C++语言来编写程序,这样一来可以增强程序的可读性(毕竟能看懂32位汇编语言的朋友还不多——就整个程序员团体而言),二来也可以逐渐地对DrX的使用进行封装,增强代码的复用性。
上篇文章的例子程序Msg.exe其实就是ASM版的Hello,World程序,程序用MASM32V8编译,所以其入口点为401000H,我们选择在401000H处设DrX断点,其实也就是在程序的入口点设断点。
这篇文章中将要引入的例子程序是全世界最著名的Win32Asm教程:Iczelion Win32asm Tutorial中提出来的一个程序:对整个程序运行的指令数进行计数,在程序退出时,再显示记录下来的程序运行的总指令数。在本期的文章的例子程序中,记录的指令数包括了Windows系统内的指令(也就是Kernel32.dll,User32.dll等系统文件中的指令),至于如何单独记录用户程序运行的指令数,在后续的文章中将会提供解决方案。
要达到记录整个程序执行指令数的目的,CPU的另一项调试功能:“单步断点”是必不可少的,下面是X86系列CPU的EFLAGS的示意图:
我们要使用的单步断点就是通过将上图中EFLAGS的第8位SF置1来实现的,SF为1时,CPU每执行一条指令,就会发出一个单步中断,我们就可以利用这个中断的功能来记录程序执行的总指令数。
程序的整体思路非常简单:
1、 按照上篇文章所述的方法,在程序的首地址中断下来。
2、 首地址中断后,清除DrX断点,设置SF标志
3、 此时再收到EXCEPTION_SINGLE_STEP断点消息,就代表程序正在单步运行,此时就可以对程序指令计数器进行inc的操作,从而达到记录指令执行条数的功能。
4、 收到EXIT_PROCESS_DEBUG_EVENT消息时,说明程序执行完成,准备退出内存,此时把指令计数器内的内容显示出来。
(用Visio画上一个流程图已经把我画晕了,这个程序大的框架与上一个没什么区别,大家自己琢磨一下吧,我就不画流程图了)
从上一篇文章中可以看到,程序中有大量的分支结构,这次我们选用C语言来实现程序功能,C语言内有switch语句,专门用来对付这种分支繁多的程序,所以,C代码看起来比Asm代码简单清晰得多:
理论到此为止,下面是C的代码实现:
// BPM1.cpp : 定义应用程序的入口点。
//
#include <windows.h>
#include <winbase.h>
#include <tchar.h>
#include <stdio.h>
#include <string>
int APIENTRY _tWinMain(HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPTSTR lpCmdLine,
int nCmdShow)
{
STARTUPINFO sif ;
PROCESS_INFORMATION pi ;
::ZeroMemory(&sif, sizeof(STARTUPINFO)) ;
::ZeroMemory(&pi, sizeof(PROCESS_INFORMATION)) ;
sif.cb = sizeof(STARTUPINFO) ;
bool hRes ;
bool STOP ;
hRes = ::CreateProcess (_T("Msg.exe"), NULL, NULL, NULL, NULL, DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS,
NULL, NULL, &sif, &pi) ;
if (hRes != TRUE)
{
::MessageBox(NULL, _T("建立进程出错"), _T("错误"), MB_OK) ;
::ExitProcess(-1) ;
}
DEBUG_EVENT DBEvent ;
CONTEXT Regs ;
DWORD dwState, dwBpCnt, dwSSCnt, dwAddrProc ;
static const DWORD dwBreakAddr = 0x401000 ;
unsigned int iTotalCommandNum ;
TCHAR tBuffer[256] ;
dwBpCnt = dwSSCnt = 0 ;
iTotalCommandNum = 0 ;
STOP = false ;
Regs.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS ;
do
{
::WaitForDebugEvent (&DBEvent, INFINITE) ;
dwState = DBG_EXCEPTION_NOT_HANDLED ;
switch (DBEvent.dwDebugEventCode)
{
case EXCEPTION_DEBUG_EVENT:
{
switch (DBEvent.u.Exception.ExceptionRecord.ExceptionCode)
{
case EXCEPTION_BREAKPOINT:
{
++dwBpCnt ;
if (dwBpCnt == 1)
{
::GetThreadContext(pi.hThread, &Regs) ;
Regs.Dr0 = (DWORD)(::GetProcAddress(::GetModuleHandle(_T("ntdll.dll")), _T("NtContinue")) );
Regs.Dr7 = 0x101 ;
::SetThreadContext(pi.hThread, &Regs) ;
dwState = DBG_CONTINUE ;
}
break ;
}
case EXCEPTION_SINGLE_STEP :
{
++dwSSCnt ;
if (dwSSCnt == 1)
{
::GetThreadContext(pi.hThread, &Regs) ;
Regs.Dr0 = Regs.Dr7 = 0 ;
::SetThreadContext(pi.hThread, &Regs) ;
::ReadProcessMemory(pi.hProcess, (LPCVOID)(Regs.Esp+4), &dwAddrProc, sizeof(DWORD), NULL) ;
::ReadProcessMemory(pi.hProcess, (LPCVOID)dwAddrProc, &Regs, sizeof(CONTEXT), NULL) ;
Regs.Dr0 = dwBreakAddr ;
Regs.Dr7 = 0x101 ;
::WriteProcessMemory(pi.hProcess, (LPVOID)dwAddrProc, &Regs, sizeof(CONTEXT), NULL) ;
dwState = DBG_CONTINUE ;
}
else if (dwSSCnt == 2)
{
::GetThreadContext(pi.hThread, &Regs) ;
Regs.Dr0 = Regs.Dr7 = 0 ;
Regs.EFlags |= 0x100 ;
::SetThreadContext(pi.hThread, &Regs) ;
++iTotalCommandNum ;
dwState = DBG_CONTINUE ;
}
else
{
::GetThreadContext(pi.hThread, &Regs) ;
Regs.EFlags |= 0x100 ;
::SetThreadContext(pi.hThread, &Regs) ;
++iTotalCommandNum ;
dwState = DBG_CONTINUE ;
}
break ;
}
}
break ;
}
case EXIT_PROCESS_DEBUG_EVENT :
{
iTotalCommandNum ;
STOP = TRUE ;
::sprintf(tBuffer, _T("程序总指令数: %08lX"), iTotalCommandNum) ;
::MessageBox(NULL, tBuffer, _T("结束"), MB_OK) ;
::ExitProcess(-1) ;
break ;
}
}
if (!STOP)
{
::ContinueDebugEvent(pi.dwProcessId, pi.dwThreadId, dwState) ;
}
} while (!STOP) ;
::CloseHandle(pi.hProcess) ;
::CloseHandle(pi.hThread) ;
::ExitProcess(0) ;
}
需要指出的是:以上程序并无多少新增的技巧,之所以继(一)之后,我又写了(二),并不是要画蛇添足,而是想留下一些通用的使用DrX寄存器做调试程序的架构,上一篇是ASM的架构,这一篇就是C的架构,以后还将会写一篇C++的架构,相信这些代码的可复用性是会越来越高的!我自己把这些代码贴出来,即是方便自己,也是方便别人。计算机的东西,不存在什么技术保密的说法,今天你觉得是宝贝,留着不肯写出来,过一段时间,就变成无人问津的垃圾货了…………真心的希望国内的程序员加强交流,多写些好文章,让CSDN成为中国的CodeGuru。
