Отладка юзермодного процесса из кернелмода

Тема в разделе "WASM.WIN32", создана пользователем Igor1024, 27 ноя 2011.

  1. Igor1024

    Igor1024 Васил Троянов Боянов (Azis)

    Публикаций:
    0
    Регистрация:
    15 окт 2010
    Сообщения:
    345
    Адрес:
    Sliven, Bulgaria
    Всем привет.
    Есть приложение, написанное на плюсах, которое просто посылает APC заданному потоку (оно его успешно находит по пиду процесса). Компилировалось это всё студией, ибо только от неё symstore понимает .pdb; потом запускаем сию вещь на виртуалке, к которой приаттачен windbg с livekd. На консоли нет ещё надписей заданных (просто в начале стоит sleep на 10с, чтоб успеть переключиться, потом выводится что-нибудь, чтобы показать, что выполнение продолжилось).
    Ок, делаем break, ищем process 0 0 наш процесс, .process /i успешно к нему аттачимся, загружаем символы для него, ставим успешно бряк (как-то bp my_app_name!_imp__OpenThread), замечаем, что OpenThread ещё не выполнился - никаких надписей ещё нет на консоли), волшебная команда g... и получаем падение отлаживаемого приложения при исполнении кода в kernel32.dll (если верить ольге) - она не может одним вариантом провести дизасм кода, а потому код коряв и делает обращение по адресу 0-0xFFFF.
    Хотя если ту же процедуру проделаем с тем же блокнотом (bp notepad!LoadFile), то бряк успешно срабатывает, но когда пытаешься продожить исполнение, блокнот падает, но не в kernel32, причём на бессмысленной инструкции - add dword [edx],0; Интересно, что буквально пол часа назад тот же блокнот не падал, а успешно продолжал выполнение.

    Если не сложно, подкиньте инфы по отладке subj.

    Вот код, может пригодится.

    Код (Text):
    1. #include <windows.h>
    2. #include <Tlhelp32.h>
    3. #include <stdlib.h>
    4. #include <iostream>
    5.  
    6. VOID CALLBACK apc_function_1(ULONG_PTR dwParam) {
    7.      MessageBox(0,0,0,0);//вообще не важно что здесь - я прекрасно знаю, что из-за dll //base address randomisation прыгнем куда-то не туда, но это не важно
    8.      }
    9.      
    10. int parser()
    11. {
    12.     char* str=GetCommandLine();
    13.     for(str; *(str)!=0; str++){std::cout<<*(str);};
    14.     while(*(str)!=' ')str--;
    15.     str++;
    16.     return atoi(str);
    17. }
    18.  
    19. int main() {
    20.  
    21.    Sleep(10000);
    22.  
    23.    DWORD thread_id;
    24.    DWORD pid=parser();
    25.    THREADENTRY32 te;
    26.  
    27.    std::cout<<'\n'<<pid<<'\n';
    28.    
    29.    
    30.    HANDLE h=CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);
    31.    te.dwSize=sizeof(te);
    32.  
    33.    Thread32First(h,&te);
    34.    
    35.    while(te.th32OwnerProcessID!=pid){te.dwSize=sizeof(te); Thread32Next(h,&te);}
    36.    thread_id=te.th32ThreadID;
    37.    
    38.    HANDLE thread_handle = OpenThread(THREAD_ALL_ACCESS,0,thread_id);
    39.  
    40.    if (thread_handle==INVALID_HANDLE_VALUE){Beep(500,500);return -1;}
    41.    Sleep(1000);
    42.    
    43. send_apc:   QueueUserAPC(apc_function_1, thread_handle,0);
    44.  
    45.   return(0);
    46. }
     
  2. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
  3. Igor1024

    Igor1024 Васил Троянов Боянов (Azis)

    Публикаций:
    0
    Регистрация:
    15 окт 2010
    Сообщения:
    345
    Адрес:
    Sliven, Bulgaria
    Спасибо, пошёл настраивать.
     
  4. Igor1024

    Igor1024 Васил Троянов Боянов (Azis)

    Публикаций:
    0
    Регистрация:
    15 окт 2010
    Сообщения:
    345
    Адрес:
    Sliven, Bulgaria
    Да, действительно удобно (ну кроме того, что нет отдельного окошка для дизасм-листинга для ntsd в самом windbg)... Хотя это довольно большие заморочки ради бряка :)
     
  5. Igor1024

    Igor1024 Васил Троянов Боянов (Azis)

    Публикаций:
    0
    Регистрация:
    15 окт 2010
    Сообщения:
    345
    Адрес:
    Sliven, Bulgaria
    Вопрос:
    из-за того, что с символами что-то не так (на tm запускаю ntsd, управление передаётся в windbg на hm - kd заменяется на Input, т.е контролируем юзермодный дебаггер уже, ставим бряк на тот же OpenThread, но пролетаем почему-то мимо), решил самостоятельно дойти дебаггером до вожделенной функции. Сначала модуль загружается в память, настраивается ldr и прочее, потом управление передаётся main thread - NtContinue, что сводится к sysenter. Ок, мы должны использовать кд для такого. Делаем .breakin, оказываемся в коде выхода из сервиса дебаггера (ну, по крайней мере я так думаю). Можно попытаться вклиниться в отлажеваемый юзермодный процесс .process /i eprocess_addr, попадём опять в юзермод дебаггер, снова делаем .breakin и опять мы на выходе из сервиса дебаггера... И ещё заметил, что кд отказывается по sysenter'у идти, просто делает trace_over.
    x64
    Вы сказали про !bpid, но -a просто говорит, что поставил бряк в процессе с пидом таким-то, а тем временем процесс уже исполняется и заканчивает исполнение, -s, кажется не совсем то, а назначение параметра -w не совсем понял. Можете немного растолковать, что к чему?

    UPD:Хотя стоп, с -s попробую...

    UPD:Перепробовал все параметры !bpid, выводит что-то вроде

    Код (Text):
    1. Waiting for winlogon.exe to break.  This can take a couple of minutes...
    2. Break instruction exception - code 80000003 (first chance)
    3. Stepping to g_BreakinProcessId check...
    4. Break into process 1048 set.  The next break should be in the desired process.
    и просто продолжает выполнение вм.
     
  6. Igor1024

    Igor1024 Васил Троянов Боянов (Azis)

    Публикаций:
    0
    Регистрация:
    15 окт 2010
    Сообщения:
    345
    Адрес:
    Sliven, Bulgaria
    Ок, переформулирую вопрос:
    вот дошли мы юзер-дебаггером до sysenter'a, делаем .breakin, ищем процесс отлаживаемый, делаем .process /i eprocess_addr, жмакаем g, но запускается снова юзермодный дебаггер. Как этого избежать?