Отладка процесса, запущенного другим процессом

KeSqueer · 8 окт 2010

В общем, нужно начать отлаживание программы в тот момент, когда управление передаётся на её точку входа. Целевая программа запускается загрузчиком, который динамически генерирует передаваемую командную строку, т.е. самостоятельный запуск целевого процесса без реверса загрузчика невозможен.
Как вариант - запускать загрузчик с DEBUG_ACTIVE_PROCESS и реагировать на CREATE_PROCESS_DEBUG_EVENT. Есть ли другие способы?

n0name · 8 окт 2010

int3 на EP?

KeSqueer · 8 окт 2010

n0name
Пропатчить файл нельзя. Пропатчить память можно, но это нужно сделать до того как управление попадёт на EP. Собственно, вопрос в том, как отловить этот момент.

onSide · 8 окт 2010

кинуть любую длл-ку из импорта второго екзешника рядом с ним и на DLL_PROCESS_ATTACH что-то сделать. Только я забыл будет ли сначала браться длл-ка из текущей директории))) Только чем не подходит твой вариант?

spa · 9 окт 2010

Да на крайняк можно и оригинал пропатчить.

KeSqueer · 9 окт 2010

onSide
Интересный вариант Но мой проще, ведь в этом придётся создавать модифицированную DLL + следить за тем, кто её загружает.

Только чем не подходит твой вариант?
Нажмите, чтобы раскрыть...

Всем подходит, но может быть есть штатные способы проще?

Clerk · 9 окт 2010

KeSqueer
Хардварные брейки использовать. Или контекст изменить, например взвести TF, затем откатать фолт. Или в системный лодер брейков поставить. Не понятно в чём проблема, опишите подробно.

onSide · 9 окт 2010

А почему нельзя элементарно поставить хук на CreateProcess в лоадере, создать его саспендед и вставить АРС?

Хардварные брейки использовать. Или контекст изменить, например взвести TF, затем откатать фолт. Или в системный лодер брейков поставить.
Нажмите, чтобы раскрыть...

Где все это делать если не трогать первый процесс? А изначально задача стояла именно так) Как узнать что он вообще создался и сделать что-то до ЕР? Что-то не врубаюсь)

Clerk · 9 окт 2010

onSide
Почему нельзя трогать процесс ?

KeSqueer · 9 окт 2010

Clerk
Имеется приложение А, которое запускает приложение Б, и только А может запустить Б. Нужно получать значения аргументов некоторой процедуры в приложении Б, в то время пока оно работает. Чтобы осуществить задуманное, можно запустить А в режиме отладки и с WaitForDebugEvent ловить CREATE_PROCESS_DEBUG_EVENT, во время которого можно поставить брейк на начало нужной процедуры (int3), а далее обрабатывать EXCEPTION_DEBUG_EVENT + EXCEPTION_BREAKPOINT. По приходу оного, сверять адрес исключения, и получать значения регистров (GetThreadContext) => значения аргументов (ReadProcessMemory).
Можно просто приаттачиться к работающему приложению Б (DebugActiveProcess), но тогда теряется часть передаваемых целевой процедуре параметров, которые были переданы до присоединения отлаживающего приложения.
Есть ли другие варианты, как например нотификация моего приложения, что создан некий процесс.
Хотел задать вопрос позже, но раз уж зашло дело... Понимаю, что идея с софтварными брейками не лучшая также, т.к. создаёт много геморроя при патче. Хардварными, к сожалению, не умею пользоваться, но они были бы кстати. Про системный лодер брейков не слышал.

Clerk · 9 окт 2010

KeSqueer
Удалённая обработка исключений в юзермоде возможна только посредством отладочного порта, поэтому решение его использовать верное. Мониторить CREATE_THREAD_DEBUG_EVENT, устанавливать хардварный брейк на исполнение процедуры, ловить EXCEPTION_DEBUG_EVENT(STATUS_SINGLE_STEP).

KeSqueer · 9 окт 2010

Clerk

Удалённая обработка исключений в юзермоде возможна только посредством отладочного порта, поэтому решение его использовать верное.
Нажмите, чтобы раскрыть...

Отладка идёт локально.
Как устанавливать хардварные брейки вроде нашел. Единственной небольшой проблемой может быть то, что нужную процедуру могут использовать несколько потоков, т.е. придётся для всех потоков целевого процесса выполнять установку брейков.
Хорошо, с этим более-менее всё ясно. Ещё пара вопросов.
1) Один из параметров исследуемой процедуры является указателем на ASCIIZ-строку, длина которой заранее неизвестна. Чтобы получить строку можно вызвать ReadProcessMemory с довольно большим значением количества считывемых байтов, но есть риск выйти за границы. Как правильно организовать чтение? Нужно получать карту памяти процесса и проверять какому диапазону принадлежит адрес?
2) Поясните, пожалуйста насчёт поля DEBUG_EVENT.u.Exception.dwFirstChance и ContinueDebugEvent(DBG_CONTINUE / DBG_EXCEPTION_NOT_HANDLED). Не пойму как правильно обрабатывать исключения по значению dwFirstChance и что после обработки/необработки передавать в ContinueDebugEvent - DBG_CONTINUE или DBG_EXCEPTION_NOT_HANDLED. Просто, при отладке приложения, кроме брейка, который установил я, срабатывают другие, где-то в недрах ntdll.dll, которые мне ловить не нужно. Как на них реагировать, т.е. что передавать в ContinueDebugEvent если поймалось исключение, которое вызвали не мои действия? На данный момент просто передаю DBG_CONTINUE.

Clerk · 9 окт 2010

KeSqueer
Когда приходит сообщение CREATE_THREAD_DEBUG_EVENT получаете контекст потока, загружаете в Dr[0%3] адрес процедуры, в Dr7 флажки(для Dr0: HB_0_ON_LOCAL | HB_LOCALS_ENABLE | HB_0_TYPE_EXEC):

Код (Text):

; DR7

HB_3_SIZE_BYTE equ 00000000000000000000000000000000B

HB_3_SIZE_WORD equ 01000000000000000000000000000000B

HB_3_SIZE_LONG equ 11000000000000000000000000000000B

HB_3_TYPE_EXEC equ 00000000000000000000000000000000B

HB_3_TYPE_WRITE equ 00010000000000000000000000000000B

HB_3_TYPE_IO equ 00100000000000000000000000000000B

HB_3_TYPE_RW equ 00110000000000000000000000000000B

HB_2_SIZE_BYTE equ 00000000000000000000000000000000B

HB_2_SIZE_WORD equ 00000100000000000000000000000000B

HB_2_SIZE_LONG equ 00001100000000000000000000000000B

HB_2_TYPE_EXEC equ 00000000000000000000000000000000B

HB_2_TYPE_WRITE equ 00000001000000000000000000000000B

HB_2_TYPE_IO equ 00000010000000000000000000000000B

HB_2_TYPE_RW equ 00000011000000000000000000000000B

HB_1_SIZE_BYTE equ 00000000000000000000000000000000B

HB_1_SIZE_WORD equ 00000000010000000000000000000000B

HB_1_SIZE_LONG equ 00000000110000000000000000000000B

HB_1_TYPE_EXEC equ 00000000000000000000000000000000B

HB_1_TYPE_WRITE equ 00000000000100000000000000000000B

HB_1_TYPE_IO equ 00000000001000000000000000000000B

HB_1_TYPE_RW equ 00000000001100000000000000000000B

HB_0_SIZE_BYTE equ 00000000000000000000000000000000B

HB_0_SIZE_WORD equ 00000000000001000000000000000000B

HB_0_SIZE_LONG equ 00000000000011000000000000000000B

HB_0_TYPE_EXEC equ 00000000000000000000000000000000B

HB_0_TYPE_WRITE equ 00000000000000010000000000000000B

HB_0_TYPE_IO equ 00000000000000100000000000000000B

HB_0_TYPE_RW equ 00000000000000110000000000000000B

HB_PROTECT_ENABLE equ 00000000000000000010000000000000B

HB_GLOBALS_ENABLE equ 00000000000000000000001000000000B

HB_LOCALS_ENABLE equ 00000000000000000000000100000000B

HB_3_ON_GLOBAL equ 00000000000000000000000010000000B

HB_3_ON_LOCAL equ 00000000000000000000000001000000B

HB_2_ON_GLOBAL equ 00000000000000000000000000100000B

HB_2_ON_LOCAL equ 00000000000000000000000000010000B

HB_1_ON_GLOBAL equ 00000000000000000000000000001000B

HB_1_ON_LOCAL equ 00000000000000000000000000000100B

HB_0_ON_GLOBAL equ 00000000000000000000000000000010B

HB_0_ON_LOCAL equ 00000000000000000000000000000001B

; DR6

HB_EVENT_BREAK_0 equ 00000000000000000000000000000001B

HB_EVENT_BREAK_1 equ 00000000000000000000000000000010B

HB_EVENT_BREAK_2 equ 00000000000000000000000000000100B

HB_EVENT_BREAK_3 equ 00000000000000000000000000001000B

HB_EVENT_PROTECT equ 00000000000000000010000000000000B

HB_EVENT_TRAP equ 00000000000000000100000000000000B

HB_EVENT_TSS equ 00000000000000001000000000000000B

Когда произойдёт останов на порт доставляется #STATUS_SINGLE_STEP.
1. Получить размер региона памяти на основе ссылки, тоесть NtQueryVirtualMemory/NtReadVirtualMemory. Обычно передаётся размер строки, также у строк имеется лимит. Строка может быть в модуле, тогда проверяется вхождение в него. Может быть в хипе, тогда можно сделать слепок, но с этим могут быть проблемы, так как используются удалённые потоки(хотя он и скрыт от отладчика - PS_CROSS_THREAD_FLAGS_HIDEFROMDBG).
2.

// Previous mode was user.
//
// If this is the first chance and the current process has a debugger
// port, then send a message to the debugger port and wait for a reply.
// If the debugger handles the exception, then continue execution. Else
// transfer the exception information to the user stack, transition to
// user mode, and attempt to dispatch the exception to a frame based
// handler. If a frame based handler handles the exception, then continue
// execution with the continue system service. Else execute the
// NtRaiseException system service with FirstChance == FALSE, which
// will call this routine a second time to process the exception.
//
// If this is the second chance and the current process has a debugger
// port, then send a message to the debugger port and wait for a reply.
// If the debugger handles the exception, then continue execution. Else
// if the current process has a subsystem port, then send a message to
// the subsystem port and wait for a reply. If the subsystem handles the
// exception, then continue execution. Else terminate the process.
//
Нажмите, чтобы раскрыть...

KeSqueer · 9 окт 2010

Clerk
Благодарю

KeSqueer · 9 окт 2010

Странное что-то творится. После первого события CREATE_PROCESS_DEBUG_EVENT приходит EXCEPTION_BREAKPOINT с адресом 0x7C90120E. Гугль говорит что это фэйл Майкрософта, и вместо возвращения корректного значения из функции с соответствующей установкой LastError вызывает DbgBreakPoint. По ответу Клерка на мой вопрос №2 (#12 -> #13), при dwFirstChance != 0 отправляю исключение путешествовать по фреймам, а вместо этого получаю MessageBox следующего содержания:

Код (Text):

---------------------------

warpatch.exe - Ошибка приложения

---------------------------

Ошибка при инициализации приложения (0x80000003). Для выхода из приложения нажмите кнопку "ОК".

---------------------------

ОК

---------------------------

После него еще один такой же MessageBox, потом приходит следующее EXCEPTION_BREAKPOINT с адресом 0x7C96478E (тоже легко гуглится, сошлём это на ошибку программиста) и dwFirstChance != 0. Отвечая на него опять же ContinueDebugEvent(DBG_EXCEPTION_NOT_HANDLED) я его получаю второй раз, но с уже dwFirstChance = 0. После этого начинается самое интересное - нескончаемо приходят EXCEPTION_ACCESS_VIOLATION по адресу 0x80000003 (странно, но этот адрес = EXCEPTION_BREAKPOINT).

KeSqueer · 9 окт 2010

Код:

Код (Text):

#define _WIN32_WINNT 0x500

#include <windows.h>

#include <psapi.h>

#pragma comment(lib, "psapi.lib")

#include <stdlib.h>

#include <stdio.h>

#include <string.h>

#include <assert.h>

void DebugLoop(void)

{

TCHAR szModuleName[MAX_PATH];

DWORD dwModuleNameLen;

DEBUG_EVENT DbgEvent;

HANDLE hProcess;

BOOL bRet;

for (;;)

{

DWORD dwContinueStatus = DBG_CONTINUE;

bRet = WaitForDebugEvent(&DbgEvent, INFINITE);

assert(bRet);

switch (DbgEvent.dwDebugEventCode)

{

case EXCEPTION_DEBUG_EVENT:

{

EXCEPTION_RECORD *pER = &DbgEvent.u.Exception.ExceptionRecord;

wprintf(L"Caught an exception:\t[0x%08X] at address [0x%08p] PID=%d TID=%d\n",

pER->ExceptionCode, pER->ExceptionAddress, DbgEvent.dwProcessId, DbgEvent.dwThreadId);

}

if (DbgEvent.u.Exception.dwFirstChance)

dwContinueStatus = DBG_EXCEPTION_NOT_HANDLED;

break;

case CREATE_THREAD_DEBUG_EVENT:

wprintf(L"Thread Created:\t\tPID=%d TID=%d\n", DbgEvent.dwProcessId, DbgEvent.dwThreadId);

break;

case CREATE_PROCESS_DEBUG_EVENT:

CloseHandle(DbgEvent.u.CreateProcessInfo.hFile);

dwModuleNameLen = GetProcessImageFileName(DbgEvent.u.CreateProcessInfo.hProcess, szModuleName, _countof(szModuleName));

wprintf(L"Process Created:\t%ls PID=%d TID=%d\n", wcsrchr(szModuleName, '\\')+1, DbgEvent.dwProcessId, DbgEvent.dwThreadId);

break;

case EXIT_THREAD_DEBUG_EVENT:

wprintf(L"Thread Terminated:\tPID=%d TID=%d\n", DbgEvent.dwProcessId, DbgEvent.dwThreadId);

break;

case EXIT_PROCESS_DEBUG_EVENT:

hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, DbgEvent.dwProcessId);

dwModuleNameLen = GetProcessImageFileName(hProcess, szModuleName, _countof(szModuleName));

CloseHandle(hProcess);

wprintf(L"Process Terminated:\t%ls PID=%d TID=%d\n", wcsrchr(szModuleName, '\\')+1, DbgEvent.dwProcessId, DbgEvent.dwThreadId);

break;

case LOAD_DLL_DEBUG_EVENT:

CloseHandle(DbgEvent.u.LoadDll.hFile);

break;

}

bRet = ContinueDebugEvent(DbgEvent.dwProcessId, DbgEvent.dwThreadId, dwContinueStatus);

assert(bRet);

}

}

BOOL EnableDebugPrivilege(void)

{

HANDLE hToken;

BOOL bRet = FALSE;

if (OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES, &hToken))

{

LUID Luid;

if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &Luid))

{

TOKEN_PRIVILEGES tp;

tp.PrivilegeCount = 1;

tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

tp.Privileges[0].Luid = Luid;

if (AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, 0) && GetLastError() != ERROR_NOT_ALL_ASSIGNED)

bRet = TRUE;

}

CloseHandle(hToken);

}

return bRet;

}

int wmain(void)

{

STARTUPINFO StartupInfo;

PROCESS_INFORMATION ProcessInfo;

BOOL bRet;

LPCWSTR pszCurDir = L"D:\\Games\\WARHAM~1";

LPCWSTR pszAppName = L"D:\\Games\\WARHAM~1\\warpatch.exe";

LPWSTR pszCommandLine = _wcsdup(pszAppName);

bRet = EnableDebugPrivilege();

assert(bRet);

ZeroMemory(&StartupInfo, sizeof(StartupInfo));

StartupInfo.cb = sizeof(StartupInfo);

StartupInfo.dwFlags = CREATE_UNICODE_ENVIRONMENT;

bRet = CreateProcess(pszAppName, pszCommandLine, NULL, NULL, FALSE, DEBUG_PROCESS, NULL, pszCurDir, &StartupInfo, &ProcessInfo);

assert(bRet);

CloseHandle(ProcessInfo.hThread);

CloseHandle(ProcessInfo.hProcess);

DebugSetProcessKillOnExit(FALSE);

DebugLoop();

free(pszCommandLine);

return 0;

}

Результат работы с ответом DBG_EXCEPTION_NOT_HANDLED при dwFirstChance != 0:

Код (Text):

Process Created: warpatch.exe PID=2996 TID=1664

Caught an exception: [0x80000003] at address [0x7C90120E] PID=2996 TID=1664

Caught an exception: [0x80000003] at address [0x7C96478E] PID=2996 TID=1664

Caught an exception: [0x80000003] at address [0x7C96478E] PID=2996 TID=1664

Caught an exception: [0xC0000005] at address [0x80000003] PID=2996 TID=1664

Caught an exception: [0xC0000005] at address [0x80000003] PID=2996 TID=1664

Caught an exception: [0xC0000005] at address [0x80000003] PID=2996 TID=1664

Caught an exception: [0xC0000005] at address [0x80000003] PID=2996 TID=1664

Caught an exception: [0xC0000005] at address [0x80000003] PID=2996 TID=1664

...

Результат работы с ответом DBG_CONTINUE при любом dwFirstChance (рабочий вариант):

Код (Text):

Process Created: warpatch.exe PID=1296 TID=2824

Caught an exception: [0x80000003] at address [0x7C90120E] PID=1296 TID=2824

Thread Created: PID=1296 TID=2176

Thread Created: PID=1296 TID=3060

Thread Created: PID=1296 TID=3188

Thread Created: PID=1296 TID=1192

Thread Created: PID=1296 TID=2912

Thread Created: PID=1296 TID=1752

Thread Created: PID=1296 TID=252

Thread Created: PID=1296 TID=3676

Thread Terminated: PID=1296 TID=1752

Thread Created: PID=1296 TID=460

Thread Terminated: PID=1296 TID=3188

Thread Terminated: PID=1296 TID=460

Thread Terminated: PID=1296 TID=1192

Thread Terminated: PID=1296 TID=2912

Thread Terminated: PID=1296 TID=252

Process Created: warpatch.bin PID=3572 TID=2296

Thread Terminated: PID=1296 TID=3060

Thread Terminated: PID=1296 TID=2176

Thread Terminated: PID=1296 TID=3676

Caught an exception: [0x80000003] at address [0x7C90120E] PID=3572 TID=2296

Process Terminated: warpatch.exe PID=1296 TID=2824

Thread Created: PID=3572 TID=3692

Thread Created: PID=3572 TID=3196

Thread Created: PID=3572 TID=3308

Thread Created: PID=3572 TID=704

Thread Created: PID=3572 TID=204

Thread Created: PID=3572 TID=2576

Thread Created: PID=3572 TID=1748

Thread Created: PID=3572 TID=1340

Thread Created: PID=3572 TID=3216

Thread Created: PID=3572 TID=3252

Thread Created: PID=3572 TID=3640

Thread Terminated: PID=3572 TID=2576

Thread Created: PID=3572 TID=1440

Thread Created: PID=3572 TID=4092

Thread Created: PID=3572 TID=848

Thread Created: PID=3572 TID=3900

Thread Created: PID=3572 TID=1068

Thread Created: PID=3572 TID=1356

Thread Created: PID=3572 TID=216

Thread Terminated: PID=3572 TID=3640

Thread Created: PID=3572 TID=3088

Thread Created: PID=3572 TID=1116

Thread Created: PID=3572 TID=3596

Thread Terminated: PID=3572 TID=3596

Thread Terminated: PID=3572 TID=3308

Thread Terminated: PID=3572 TID=1748

Thread Terminated: PID=3572 TID=704

Thread Terminated: PID=3572 TID=204

Thread Terminated: PID=3572 TID=3692

Thread Terminated: PID=3572 TID=3196

Thread Terminated: PID=3572 TID=1340

Thread Terminated: PID=3572 TID=3216

Thread Terminated: PID=3572 TID=4092

Thread Terminated: PID=3572 TID=3252

Thread Terminated: PID=3572 TID=1440

Thread Terminated: PID=3572 TID=3900

Thread Terminated: PID=3572 TID=3088

Thread Terminated: PID=3572 TID=1116

Thread Terminated: PID=3572 TID=216

Thread Terminated: PID=3572 TID=1068

Thread Terminated: PID=3572 TID=848

Thread Terminated: PID=3572 TID=1356

Process Terminated: warpatch.bin PID=3572 TID=2296

KeSqueer · 9 окт 2010

Наверное стоит отметить, что первый брейк возникает только при наличии отладчика, т.к. походу приложение его не ловит, из за чего и возникает MessageBox. Другое дело - не понятно почему он (MessageBox) возникает после dwFirstChance !=0, а не после dwFirstChance = 0. Кроме того, второй брейк (тот что по другому адресу) не возникает, если в ответ на первый послать DBG_CONTINUE.
Далее встречаются другие исключения (например invalid instruction при попытке выполнить некоторые SSSE-инструкции), которые корректно обрабатываются самим приложением в своих SEH фреймах после ContinueDebugEvent(DBG_EXCEPTION_NOT_HANDLED) в ответ на dwFirstChance != 0.

leo · 9 окт 2010

KeSqueer
Первый брейк, генерируемый в ntdll.DbgBreakPoint, предназначен именно отладчику, и соотв-но в ответ на него нужно слать DBG_CONTINUE

KeSqueer · 9 окт 2010

leo
Вот те на
А это где-то сказано? Видимо упустил.

leo · 9 окт 2010

А это где-то сказано?
Нажмите, чтобы раскрыть...

Это как-бы "хорошо известно"
О том, что это спец-брик для отладчика у Руссиновича сказано (в описании создания процесса). Да и на "бытовом уровне" работы с OllyDbg этот system breakpoint "невооруженным глазом видно" Ну а то, что на него нужно выдавать DBG_CONTINUE - это уже просто следствие того, что этот брик предназначен отладчику - типа отладчик его получил и сказал "спасибо", и соотв-но далее искать какой-то SEH-обработчик этого исключения в самой проге не нужно

Войти или зарегистрироваться

Отладка процесса, запущенного другим процессом

KeSqueer Сергей

n0name New Member

KeSqueer Сергей

onSide New Member

spa Active Member

KeSqueer Сергей

Clerk Забанен

onSide New Member

Clerk Забанен

KeSqueer Сергей

Clerk Забанен

KeSqueer Сергей

Clerk Забанен

KeSqueer Сергей

KeSqueer Сергей

KeSqueer Сергей

KeSqueer Сергей

leo Active Member

KeSqueer Сергей

leo Active Member

Войти или зарегистрироваться

Отладка процесса, запущенного другим процессом

KeSqueer Сергей

n0name New Member

KeSqueer Сергей

onSide New Member

spa Active Member

KeSqueer Сергей

Clerk Забанен

onSide New Member

Clerk Забанен

KeSqueer Сергей

Clerk Забанен

KeSqueer Сергей

Clerk Забанен

KeSqueer Сергей

KeSqueer Сергей

KeSqueer Сергей

KeSqueer Сергей

leo Active Member

KeSqueer Сергей

leo Active Member

Быстрый поиск