源码调试

自动加载

image.png

强制加载

image.png

WinDbg认识

用户态、内核态的调试程序
BUSY 调试器正在忙,无法输入命令
0:0002 当前———进程号:线程号
0:kd> 正在进行内核调试,调试0号CPU
Lkd> 现正在进行本地内核调试
https://blog.csdn.net/huanongying131/article/details/90745827

WinDbg命令

常规命令:最为常用,比较短
d(查看数据)、t(单步)、u(查看反汇编)、b(断点)

元命令:最为常用,比较短
.reload(加载符号)、.cls(清除记录)

扩展命令:一些特殊功能会用到这些命令
!process(查看进程)
!handle(查看句柄)

b系列

pb 设置软件断点
bu 设置符号断点
ba i|w|r|en 设置硬件断点
be、bd、bc 启用、禁用、删除断点
bl 列出所哟一断点

bp命令为设置断点,后面的参数可以为地址、符号、运算式,windbg会自动计算地址

d、e系列

db、dw、dd、dq、da、du、df、dD、dyb、dyd 以不同形式查看虚拟内存
!db、!dc、!dd、!dp、!dq、!du、!dw 以不同形式查看物理内存
dt 查看结构体
e、ea、eb、ed、eD、ef、ep、eq、eu、ew、eza、ezu 以不同形式编辑虚拟内存
!e、!ea、!eb、!ed、!eD、!ef、!ep、!eq、!eu 以不同形式编辑物理内存

db以字节方式查看数据
dw以字的方式查看数据
dd以双字的方式查看数据

~系列

~* r ~代表查看线程的寄存器,*代表所有的,r查看
~1 r 只查看第一个的
~* r eax 查看特定寄存器eax的
r eax=ebx 更改寄存器的值

image.png

g系列

g 恢复执行(F5)
gh 执行的时候处理异常
gn 执行的时候不处理异常
gc 有条件的执行
gu 执行到父函数

p系列

p 单步步入(F11)
pa 执行到一个地址
pc 执行到下一个call

t系列

t 单步步过
ta 执行到一个地址
tc 执行到下一个call
tb 单步到下一个分支

中断和异常

1. 终止处理SEH

  1. #include <iostream>
  2. #include <windows.h>
  4. // 终结处理器: 由 __try 、 __finally 和 __leave 构成。
  5. //    能够保证无论 __try 中的指令以何种方式退出,都必然会
  6. //    执行 __finally 块。【不会处理异常,只做清理操作】
  7. //    SEH 的使用范围是线程相关的,每个线程都有自己的函数
  9. int main()
  10. {
  11.     __try 
  12.     {
  13.         // 被检查的代码块,通常是程序的逻辑部分
  14.         printf("__try { ... }\n");
  16.         // 如果当前以包括 return goto break 
  17.         // 的跳转指令退出就会产生一些额外的函
  18.         // 数调用,用于执行 __finally 块
  20.         // 推荐是用 __leave 跳出当前的 __try
  21.         __leave;
  22.     }
  23.     __finally 
  24.     {
  25.         // 终结处理块,通常编写的是用于清理当前程序的代码
  26.         // 无论 __try 以何种方式退出,都会执行这里的指令
  27.         printf("__finally { ... }\n");
  29.         // 使用 AbnormalTermination 判断 __try 的退出方
  30.         // 式,程序如果是正常退出的,那么返回值是 false
  31.         if (AbnormalTermination())
  32.             printf("异常退出\n");
  33.         else
  34.             printf("正常退出\n");
  35.     }
  37. ret_tag:
  38.     return 0;
  39. }

2. 异常处理SEH

  1. #include <iostream>
  2. #include <windows.h>
  4. // 异常处理器: 由关键字 __try 和 __except 构成,能够保证 __try
  5. //    中如果产生了异常,会执行过滤表达式中的内容,应该在过滤表达式提
  6. //    供的过滤函数中处理想要处理的异常。
  8. // 异常过滤表达式中最常见的情况就是编写一个一场过滤函数,对异常进行处理
  9. DWORD ExceptionFilter(EXCEPTION_POINTERS* ExceptionInfo, DWORD ExceptionCode)
  10. {
  11.     printf("ExceptionCode: %X\n", ExceptionCode);
  13.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  14.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionCode)
  15.     {
  16.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  17.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  18.         ExceptionInfo->ContextRecord->Eax = 30;
  19.         ExceptionInfo->ContextRecord->Edx = 0;
  20.         ExceptionInfo->ContextRecord->Ecx = 1;
  22.         // 异常如果被处理了,那么就返回重新执行当前的代码
  23.         return EXCEPTION_CONTINUE_EXECUTION;
  24.     }
  26.     // 如果不是自己能够处理的异常,就不处理只报告
  27.     return EXCEPTION_EXECUTE_HANDLER;
  28. }
  30. int main()
  31. {
  32.     int number = 0;
  34.     __try
  35.     {
  36.          // __try 中保存的是可能产生异常的代码
  37.         number /= 0;
  38.     }
  40.     // __except 后的括号中会存在一个异常过滤表达式表达式的返回值必定是一下说明的几个之一
  41.     //    - EXCEPTION_EXECUTE_HANDLER(1): 执行异常处理器报告异常,但是并不处理,不处理返回
  42.     //    - EXCEPTION_CONTINUE_SEARCH(0): 将异常传递给上层的异常处理函数,通常无法处理返回
  43.     //    - EXCEPTION_CONTINUE_EXECUTION(-1): 尝试重新执行指令,通常在处理了异常之后返回
  45.     // 通常会为一场过滤表达式提供一个异常处理函数用于处理异常,并返回处理结果
  46.     //    - GetExceptionCode: 用于获取异常的类型,能在过滤表达式和异常处理器中使用
  47.     //    - GetExceptionInformation: 用于获取异常的信息,只能卸载过滤表达式中
  48.     __except (ExceptionFilter(GetExceptionInformation(), GetExceptionCode()))
  49.     {
  50.         // 异常处理器,只有 __except 返回 EXCEPTION_EXECUTE_HANDLER 才会执行
  51.         printf("__try 中 产生了异常,但是并没有处理异常 %x\n", GetExceptionCode());
  52.     }
  54.     printf("numebr = %d\n", number);
  56.     return 0;
  57. }

3. 顶层异常UEH

  1. #include <iostream>
  2. #include <windows.h>
  4. // UEH: 全称顶层异常处理器,这个函数只能有一个,被保存在全局变量中,
  5. //    由于只会被系统默认的最底层 SEH 调用,所以又会被称作是 SEH 的一
  6. //    种,是整个异常处理中的最后一环,所以通常都不会再次执行异常处理操
  7. //    作,而是进行内存 dump,将信息发送给服务器,进行异常的分析。
  8. //    [注意: UEH 在 win7 之后,只有在非调试模式下才会被调用,可以反调试]
  11. LONG WINAPI TopLevelExceptionFilter(EXCEPTION_POINTERS* ExceptionInfo)
  12. {
  13.     printf("ExceptionCode: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
  15.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  16.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionInfo->ExceptionRecord->ExceptionCode)
  17.     {
  18.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  19.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  20.         ExceptionInfo->ContextRecord->Eax = 30;
  21.         ExceptionInfo->ContextRecord->Edx = 0;
  22.         ExceptionInfo->ContextRecord->Ecx = 1;
  24.         // 异常如果被处理了,那么就返回重新执行当前的代码
  25.         return EXCEPTION_CONTINUE_EXECUTION;
  26.     }
  28.     // 如果不是自己能够处理的异常,就不处理只报告
  29.     return EXCEPTION_EXECUTE_HANDLER;
  30. }
  33. int main()
  34. {
  35.     int number = 0;
  37.     // 通过一个函数可以直接的安装 UEH
  38.     SetUnhandledExceptionFilter(TopLevelExceptionFilter);
  40.     // 安装一个 SEH 处理器
  41.     __try
  42.     {
  43.         number /= 0;
  44.     }
  45.     // 异常一旦被 SEH 处理,就不会再传递给 UEH
  46.     __except (EXCEPTION_EXECUTE_HANDLER)
  47.     {
  48.         printf("这个地方永远不会执行\n");
  49.     }
  51.     printf("number = %d\n", number);
  52.     system("pause");
  54.     return 0;
  55. }

4. 向量异常VEH

  1. #include <iostream>
  2. #include <windows.h>
  4. // VEH: 向量化异常处理的一种,被保存在一个全局的链表中,进程内的所有线程都可
  5. //    以使用这个函数,是第一个处理异常的函数。
  7. LONG WINAPI VectoredExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo)
  8. {
  9.     printf("ExceptionCode: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
  11.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  12.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionInfo->ExceptionRecord->ExceptionCode)
  13.     {
  14.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  15.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  16.         ExceptionInfo->ContextRecord->Eax = 30;
  17.         ExceptionInfo->ContextRecord->Edx = 0;
  18.         ExceptionInfo->ContextRecord->Ecx = 1;
  20.         // 异常如果被处理了,那么就返回重新执行当前的代码
  21.         return EXCEPTION_EXECUTE_HANDLER;
  22.     }
  24.     // 如果不是自己能够处理的异常,就不处理只报告
  25.     return EXCEPTION_EXECUTE_HANDLER;
  26. }
  28. int main()
  29. {
  30.     int number = 0;
  32.     // 通过一个函数可以直接的安装 VEH,参数一是布尔值,如果为 TRUE
  33.     //    的话,就将当前的函数添加到全局 VEH 函数的链表头部,否则尾部
  34.     AddVectoredExceptionHandler(TRUE, VectoredExceptionHandler);
  36.     // 安装一个 SEH 处理器
  37.     __try
  38.     {
  39.         number /= 0;
  40.     }
  41.     // 异常首先被 VEH 接收到,如果无法处理才会传递给 SEH
  42.     __except (EXCEPTION_EXECUTE_HANDLER)
  43.     {
  44.         printf("这个地方永远不会执行\n");
  45.     }
  47.     printf("number = %d\n", number);
  48.     system("pause");
  50.     return 0;
  51. }

5. 向量异常VCH

  1. #include <iostream>
  2. #include <windows.h>
  4. // 异常的传递过程: VEH -> SEH -> UEH -> VCH
  6. // VCH: 和 VEH 类似,但是只会在异常被处理的情况下最后调用
  9. LONG WINAPI VectoredContinueHandler(EXCEPTION_POINTERS* ExceptionInfo)
  10. {
  11.     // VEH 不会对异常进行处理,调用的时机和异常处理的情况有关
  12.     printf("VCH: ExceptionCode: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
  14.     return EXCEPTION_CONTINUE_SEARCH;
  15. }
  18. LONG WINAPI VectoredExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo)
  19. {
  20.     printf("VEH: ExceptionCode: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
  22.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  23.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionInfo->ExceptionRecord->ExceptionCode)
  24.     {
  25.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  26.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  27.         ExceptionInfo->ContextRecord->Eax = 30;
  28.         ExceptionInfo->ContextRecord->Edx = 0;
  29.         ExceptionInfo->ContextRecord->Ecx = 1;
  31.         // 异常如果被处理了,那么就返回重新执行当前的代码
  32.         return EXCEPTION_CONTINUE_SEARCH;
  33.     }
  35.     // 如果不是自己能够处理的异常,就不处理只报告
  36.     return EXCEPTION_EXECUTE_HANDLER;
  37. }
  40. LONG WINAPI TopLevelExceptionFilter(EXCEPTION_POINTERS* ExceptionInfo)
  41. {
  42.     printf("UEH: ExceptionCode: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
  44.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  45.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionInfo->ExceptionRecord->ExceptionCode)
  46.     {
  47.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  48.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  49.         ExceptionInfo->ContextRecord->Eax = 30;
  50.         ExceptionInfo->ContextRecord->Edx = 0;
  51.         ExceptionInfo->ContextRecord->Ecx = 1;
  53.         // 异常如果被处理了,那么就返回重新执行当前的代码
  54.         return EXCEPTION_CONTINUE_SEARCH;
  55.     }
  57.     // 如果不是自己能够处理的异常,就不处理只报告
  58.     return EXCEPTION_EXECUTE_HANDLER;
  59. }
  62. DWORD StructedExceptionFilter(EXCEPTION_POINTERS* ExceptionInfo)
  63. {
  64.     printf("SEH: ExceptionCode: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
  66.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  67.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionInfo->ExceptionRecord->ExceptionCode)
  68.     {
  69.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  70.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  71.         ExceptionInfo->ContextRecord->Eax = 30;
  72.         ExceptionInfo->ContextRecord->Edx = 0;
  73.         ExceptionInfo->ContextRecord->Ecx = 1;
  75.         // 异常如果被处理了,那么就返回重新执行当前的代码
  76.         return EXCEPTION_CONTINUE_EXECUTION;
  77.     }
  79.     // 如果不是自己能够处理的异常,就不处理只报告
  80.     return EXCEPTION_EXECUTE_HANDLER;
  81. }
  84. int main()
  85. {
  86.     int number = 0;
  88.     AddVectoredExceptionHandler(TRUE, VectoredExceptionHandler);
  89.     AddVectoredContinueHandler(TRUE, VectoredContinueHandler);
  90.     SetUnhandledExceptionFilter(TopLevelExceptionFilter);
  92.     // 安装一个 SEH 处理器
  93.     __try
  94.     {
  95.         number /= 0;
  96.     }
  97.     __except (StructedExceptionFilter(GetExceptionInformation()))
  98.     {
  99.         printf("SEH: 异常处理器\n");
  100.     }
  102.     printf("number = %d\n", number);
  103.     system("pause");
  105.     return 0;
  106. }

6. 探究原理SEH

  1. #include <iostream>
  2. #include <windows.h>
  4. // 带有异常处理函数的函数
  5. void test1()
  6. {
  7.     // 在 VS 的同一个函数中无论编写了多少个 SEH, 编译
  8.     // 器实际上只会安装一个叫做 except_handler4 的函数
  9.     __try
  10.     {
  11.         printf("__try { ... }\n");
  12.         __try
  13.         {
  14.             printf("__try { ... }\n");
  15.         }
  16.         __except (1)
  17.         {
  18.             printf("__except (1) { ... }\n");
  19.         }
  20.     }
  21.     __except (1)
  22.     {
  23.         printf("__except (1) { ... }\n");
  24.     }
  25. }
  27. // 没有异常处理函数的函数
  28. void test2() { }
  30. // 遍历当前程序中已经存在的异常处理函数
  31. void ShowSEH()
  32. {
  33.     // 定义一个结构体指针,用于保存 SEH 链表的头节点
  34.     EXCEPTION_REGISTRATION_RECORD* header = nullptr;
  36.     // 通过 FS:[0] 找到 ExceptionList 的头节点
  37.     __asm push fs:[0]
  38.     __asm pop header
  40.     // 遍历异常处理链表,链表以 -1 结尾
  41.     while (header != (EXCEPTION_REGISTRATION_RECORD*)-1)
  42.     {
  43.         printf("function: %08X\n", header->Handler);
  44.         header = header->Next;
  45.     }
  47.     printf("\n");
  48. }
  50. EXCEPTION_DISPOSITION NTAPI ExceptionRoutine(
  51.     // 产生的异常信息
  52.     _Inout_ struct _EXCEPTION_RECORD* ExceptionRecord,
  53.     _In_ PVOID EstablisherFrame,
  54.     // 产生异常时的线程上下文
  55.     _Inout_ struct _CONTEXT* ContextRecord,
  56.     _In_ PVOID DispatcherContext
  57. )
  58. {
  59.     printf("自定义SEH: ExceptionCode: %X\n", ExceptionRecord->ExceptionCode);
  61.     // 如果当前产生的异常是除零异常,那么就通过修改寄存器处理异常
  62.     if (EXCEPTION_INT_DIVIDE_BY_ZERO == ExceptionRecord->ExceptionCode)
  63.     {
  64.         // 通过查看汇编代码可以知道产生异常的指令是 idiv eax, ecx
  65.         // 在这个位置对寄存器执行的所有修改都会直接被应用到程序中
  66.         ContextRecord->Eax = 30;
  67.         ContextRecord->Edx = 0;
  68.         ContextRecord->Ecx = 1;
  70.         // 异常如果被处理了,那么就返回重新执行当前的代码
  71.         return ExceptionContinueExecution;
  72.     }
  74.     // 如果不是自己能够处理的异常,就不处理只报告
  75.     return ExceptionContinueSearch;
  77. }
  80. int main()
  81. {
  82.     test1();
  83.     test2();
  85.     // 遍历到了异常处理函数
  86.     ShowSEH();
  88.     // 手动的安装一个异常处理函数,操作 FS:[0]
  89.     __asm push ExceptionRoutine            // 新的异常处理函数
  90.     __asm push fs : [0]                    // 上一个节点
  91.     __asm mov fs : [0] , esp            // esp 指向创建的结构体首地址
  93.     int number = 0;
  94.     number /= 0;
  96.     // 遍历到了异常处理函数
  97.     ShowSEH();
  99.     // 卸载一个异常处理函数
  100.     __asm mov eax, fs:[0]                // 获取到了安装完之后的节点    
  101.     __asm mov eax, [eax]                // 上一个 SEH 节点,修改前的
  102.     __asm mov fs:[0], eax                // 修改前的重新设置为 SEH 头节点
  103.     __asm add esp, 8
  105.     // 遍历到了异常处理函数
  106.     ShowSEH();
  108.     return 0;
  109. }
  112. /*
  113.     PEXCEPTION_REGISTRATION_RECORD ExceptionList = nullptr;
  114.     __asm push fs:[0]
  115.     __asm pop ExceptionList
  118.     __asm push ExceptionRoutine
  119.     __asm push fs : [0]
  120.     __asm mov fs : [0], esp
  123.     __asm mov eax, ExceptionList
  124.     __asm mov fs:[0], eax
  125.     __asm add esp, 0x08
  126. */