如何使用WinDbg调试进程信息

Posted 2023-03-31

参考技术A 1. 必须命令行设置要析进程打用户堆栈信息：C:\Program Files\Debugging Tools for Windows (x64)>gflags.exe -iYourDebugProcess.exe +ust
2. 必须Debug版本进程
3. 设置windbgpdb路径即symbol path
4. 利用windbgAttachToProcess (貌似面案行：目标机器产转储文件（dump）用windbg析）
5. 利用!heap命令

示例：
0:032> !heap -s
NtGlobalFlag enables following debugging aids for new heaps:
stack back traces
LFH Key : 0x00000052389f3a7e
Termination on corruption : ENABLED
Heap Flags Reserv Commit Virt Free List UCR Virt Lock Fast
(k) (k) (k) (k) length blocks cont. heap

Windows调试1.WinDbg基本使用-异常基础知识

WinDbg 的基本使用

• WinDbg 支持的调试方式

  • 直接调试(打开一个 exe 程序) 附加调试

  • （附加到一个已经在运行的进程上）

    • 入侵式：可以改变代码的执行流程和寄存器的内容。

    • 非入侵式：不可以改变代码的执行流程，实际上就是挂起了目标进程，对目标进程的线 程环境和内存进行远程访问操作。

  • 基础指令：

    • dd dw dt da du 等：

    • 查看内存信息 ed ew ea 等：

    • 编辑内存信息 t p g 等： 流程控制

• 中断与异常

  • 中断： 通常由外部硬件产生，属于异步事件，处理器可以不进行处理 异常：

  • 通常是由内部主动触发，属于同步事件，必须要进行处理

  • 中断和异常被统一管理，可以在 WinDbg 使用 !idt 查看中断描述符表。

• 异常的种类

  • 错误：已经执行了，但是没有执行成功，eip 指向了当前的错误指令

    • 内存访问错误，除零错误，分页错误，硬件执行断点

• 陷阱：已经执行了，并且执行成功，eip 指向了当前指令的下一条

  • 软件断点(int 3) 单步异常(TF) 硬件读写断点

  • 终止：一旦产生，无法修复，会直接崩溃

   

• SEH(结构化异常处理)

  • 关键字: 需要和 C++(try throw catch) 异常处理的关键字区分开来

  • 终止处理程序：

    • 使用的关键字有 __ try __ ?nally __ leave ，保证__ ?nally块绝对被执行，通常被用作清理工 作

  • 异常处理程序： 使用关键字 __ try 和 __ except，当 __ try 有异常产生时，进行相应的处理。

  • 过滤表达式中存放的可以是任何表达式，但是返回值必须是 0 1 -1

    • EXCEPTION_CONTINUE_EXECUTION: 表示重新执行，修复了才会用

    • EXCEPTION_CONTINUE_SEARCH: 表示无法修复，继续向下以 VEH SEH UEH 的顺序寻 找

    • EXCEPTION_EXECUTE_HANDLER：表示执行 __ except 中的代码，影响执行流程

  • GetExceptionCode：过滤表达式和 except 块，获取异常类型

  • GetExceptionInfomation：只能个用于过滤表达式，获取寄存器和异常信息

• 终止异常处理程序和普通异常处理程序都是线程相关的，可以有多个

   

  UEH(顶层异常处理程序)

• 是异常处理的最后一道关卡，通常用于执行错误信息的收集工作，也被用于反调试

• 设置异常处理的函数是 SetUnhandledExceptionFilter()

• 进程相关，被存放在一个全局变量中，只能有一个

• UEH的调用位于SEH之后，如果所有SEH都无法处理才会被调用

• 如果程序处于被调试状态，那么UEH函数不会被调用

   

  VEH\\VCH(向量化异常处理程序)

• VEH 和 VCH 都被存放在一个全局的链表中，可以设置多个

• VEH的调用是最先的，如果所有VEH都无法处理异常，则会调用UEH

• VCH只会在异常被处理的时候被调用，如果异常没有被处理程序会崩溃
  
  

   

   

终结处理器

// 终结处理器: 保证程序在执行的过程中，一定会执行 _finally 块的代码
//  - 保证无论 __try 是以何种方式退出的，最终都会执行 __finally
//  - 不能够处理异常，通常只能用于执行清理工作
?
// __try: 保存的通常是需要进行检测的代码
// __finally: 保存的是一定会执行的一段代码
// __leave: 用于正常退出 __try 块
//goto ：非正常退出
int main()

    __try 
    
        printf("__try  ... \\n");
?
        // 推荐使用 __leave 退出代码块，使用跳转语句会产生多余的函数调用
        // __leave 对应实际是一条 jmp 语句，执行更加的迅速，用于正常退出__try块
        __leave;
?
        // 使用跳转指令退出 __try 块，例如 continue break goto return，属于非正常退出
        goto label_exit;
    
    __finally
    
        // 通常用于执行某一些特定的清理工作，比如关闭句柄或释放内存
        printf("__finally  ... \\n");
?
        // 使用 AbnormalTermination 判断是否是异常退出的
        if (AbnormalTermination())
            printf("异常退出代码块");
        else
            printf("正常退出代码块");
    
?
label_exit:
?
    return 0;

 

 

异常处理SEH

// SEH 的两种实现方式是不能同时存在的，但是可以嵌套
//      两种功能指__try__finanly跟__try__except
// SEH 的处理函数被保存在了栈中，所以不同的线程拥有各自的处理函数
?
// 异常处理程序(SEH):  可以用于捕获产生的异常，并且对它执行相应的处理
?
// __try: 是需要被保护(可能产生异常)的代码
// __except: 存放过滤表达式和异常处理块
?
?
// 保存异常信息和线程环境的异常结构体
// typedef struct _EXCEPTION_POINTERS 
//    PEXCEPTION_RECORD ExceptionRecord;        // 保存了[异常类型]和[产生异常的指令所在的位置]
//    PCONTEXT ContextRecord;                   // 保存的是异常发生时的寄存器环境，通过修改可以修复异常
//  EXCEPTION_POINTERS, * PEXCEPTION_POINTERS;
?
?
// 过滤函数: 用于根据不同的情况，返回不同类型的值
//  GetExceptionCode()返回值是 unsigned long
//  typedef unsigned long       DWORD;
DWORD FilterHandler(DWORD ExceptionCode, PEXCEPTION_POINTERS ExceptionInfo)
 
    // 假设产生的是一个整数除零异常，尝试对异常进行处理，并返回继续执行
    if (ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
    
        ExceptionInfo->ContextRecord->Ecx = 1;
        return EXCEPTION_CONTINUE_EXECUTION;
        //这个是-1
    
?
    // 否则其它的异常不做处理，向上传递，这个是0
    return EXCEPTION_CONTINUE_SEARCH;

?
?
int main()

    __try
    
        printf("__try  ... \\n");
?
        // 可能会产生异常的指令，只有产生了异常，才会执行 ___except
        __asm mov eax, 100
        __asm xor edx, edx
        __asm xor ecx, ecx
        __asm idiv ecx
?
        // 处理异常有意义么？ 没有意义的，具体需要分析目标的处理函数
        printf("异常已经被处理类!\\n");
?
        // 一个触发内存访问异常的代码
        // *(DWORD*)0 = 0;
    
?
    // __except() 过滤表达式的内容可以是任意形式的，但是它的值必须是下面的三个之一，通常是函数调用
    //  - EXCEPTION_EXECUTE_HANDLER(1): 表示捕获到了异常，需要执行异常处理块的代码，并继续往下执行
    //  - EXCEPTION_CONTINUE_SEARCH(0): 表示无能为力，交给其它异常处理函数，通常没有处理的返回这一个
    //  - EXCEPTION_CONTINUE_EXECUTION(-1): 表示不相信不能执行，需要重新执行一遍，只有处理了的异常才会使用
    // 异常过滤函数通常要用到的两个函数调用
    //  - GetExceptionCode: 获取产生的异常的类型，只能在过滤表达式和异常处理块中调用
    //  - GetExceptionInformation: 获取异常的信息和异常产生时的线程环境，只能在过滤表达式中使用
    __except(FilterHandler(GetExceptionCode(), GetExceptionInformation()))
    
        // 只会在异常过滤表达式的值为 EXCEPTION_EXECUTE_HANDLER 才会调用
        printf("__except(EXCEPTION_EXECUTE_HANDLER)  ... \\n");
    
?
    return 0;

 

顶层异常处理

// 顶层异常处理(UEH): 是应用程序的最后一道防线，如果所有的 SEH 都没有能够处理异常，就会执行它
//  - UEH 通常被用于执行内存转储操作，将收集的错误信息(异常类型，线程上下文和内存)提交到服务器
//  - UEH 在 64位系统 下的调试器内是永远不会执行的，需要单独的进行运行
?
?
// 自定义的顶层异常处理函数，即使没有自定义，也会有一个默认的处理函数，且只有一个
// 它的返回值类型和 SEH 是相同的，但是缺少了 EXCEPTION_EXECUTE_HANDLER
LONG WINAPI TopLevelExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo)

    printf("TopLevelExceptionHandler(): %08X\\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
?
    // 假设产生的是一个整数除零异常，尝试对异常进行处理，并返回继续执行
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
    
        ExceptionInfo->ContextRecord->Ecx = 1;
        return EXCEPTION_CONTINUE_EXECUTION;    // 0
    
?
    // 否则其它的异常不做处理，向上传递
    return EXCEPTION_CONTINUE_SEARCH;           // 1

?
?
int main()

    // 顶层异常处理的设置依赖于一个函数
    SetUnhandledExceptionFilter(TopLevelExceptionHandler);
?
    __try
    
        // 产生除零异常
        __asm mov eax, 100
        __asm xor edx, edx
        __asm xor ecx, ecx
        __asm idiv ecx
    
    __except (EXCEPTION_CONTINUE_SEARCH)
    
        // 这里永远不会执行，因为不是 EXCEPTION_EXECUTE_HANDLER(1)
        printf("__except (EXCEPTION_CONTINUE_SEARCH)\\n");
?
    
?
    printf("异常处理成功!");
    system("pause");
?
    return 0;

 

向量化异常处理程序(VEH)

// 向量化异常处理程序(VEH): 用户层支持的一种机制，在 SEH 之前被执行
//  - 保存在一个全局的链表中，整个进行都可以访问到
?
?
// 自定义的 VEH 异常处理函数，它的执行位于 SEH 之前，如果 VEH 没有处理成功，才会调用 SEH
LONG WINAPI VectoredExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo)

    printf("VectoredExceptionHandler(): %08X\\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
?
    // 假设产生的是一个整数除零异常，尝试对异常进行处理，并返回继续执行
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
    
        ExceptionInfo->ContextRecord->Ecx = 1;
        return EXCEPTION_CONTINUE_EXECUTION;    // 0
    
?
    // 否则其它的异常不做处理，向上传递
    return EXCEPTION_CONTINUE_SEARCH;           // 1

?
?
int main()

    // 设置一个向量化异常处理函数(VEH)，参数一表示添加到异常处理函数链表的位置
    AddVectoredExceptionHandler(TRUE, VectoredExceptionHandler);
?
    __try
    
        // 产生除零异常
        __asm mov eax, 100
        __asm xor edx, edx
        __asm xor ecx, ecx
        __asm idiv ecx
    
    __except (EXCEPTION_EXECUTE_HANDLER)
    
        // 这里永远不会执行，因为不是 EXCEPTION_EXECUTE_HANDLER(1)
        printf("__except (EXCEPTION_EXECUTE_HANDLER)\\n");
?
    
?
    printf("异常处理成功!");
    system("pause");
?
    return 0;

 

 

向量化异常处理程序(VCH)

// 向量化异常处理程序(VCH): 用户层支持的一种机制，在 最后 被执行
//  - 保存在一个全局的链表中，整个进程都可以访问到，和 VEH 在同一个表中，只是标志位不同
//  - VCH 只会在异常被处理的情况下，最后被执行。
?
// VEH -> SEH -> UEH -> [VCH]
?
?
// 自定义 UEH 函数，在 SEH 之后执行
LONG WINAPI TopLevelExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo)

    printf("TopLevelExceptionHandler(): %08X\\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
?
    // 假设产生的是一个整数除零异常，尝试对异常进行处理，并返回继续执行
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
    
        ExceptionInfo->ContextRecord->Ecx = 1;
        return EXCEPTION_CONTINUE_EXECUTION;
    
?
    // 否则其它的异常不做处理，向上传递
    return EXCEPTION_CONTINUE_SEARCH;

?
// 自定义的 VEH 异常处理函数，它的执行位于 SEH 之前，如果 VEH 没有处理成功，才会调用 SEH
LONG WINAPI VectoredExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo)

    printf("VectoredExceptionHandler(): %08X\\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
?
    // 假设产生的是一个整数除零异常，尝试对异常进行处理，并返回继续执行
    //if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
    //
    //  ExceptionInfo->ContextRecord->Ecx = 1;
    //  return EXCEPTION_CONTINUE_EXECUTION;
    //
?
    // 否则其它的异常不做处理，向上传递
    return EXCEPTION_CONTINUE_SEARCH;

?
// 自定义的 VCH 异常处理函数，只有在异常处理成功的情况下，最后才会被调用
LONG WINAPI VectoredContinueHandler(EXCEPTION_POINTERS* ExceptionInfo)

    printf("VectoredContinueHandler(): %08X\\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
    return EXCEPTION_CONTINUE_SEARCH;

?
?
// 过滤函数: 用于根据不同的情况，返回不同类型的值
DWORD FilterHandler(DWORD ExceptionCode, PEXCEPTION_POINTERS ExceptionInfo)

    printf("FilterHandler(): %08X\\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
?
    //// 假设产生的是一个整数除零异常，尝试对异常进行处理，并返回继续执行
    //if (ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
    //
    //  ExceptionInfo->ContextRecord->Ecx = 1;
    //  return EXCEPTION_CONTINUE_EXECUTION;
    //
?
    // 否则其它的异常不做处理，向上传递
    return EXCEPTION_CONTINUE_SEARCH;

?
int main()

    // 设置一个向量化异常处理函数(VEH)
    AddVectoredExceptionHandler(TRUE, VectoredExceptionHandler);
    // 设置一个向量化异常处理函数(VCH)
    AddVectoredContinueHandler(TRUE, VectoredContinueHandler);
    // UEH 处理函数
    SetUnhandledExceptionFilter(TopLevelExceptionHandler);
?
    __try
    
        // 产生除零异常
        __asm mov eax, 100
        __asm xor edx, edx
        __asm xor ecx, ecx
        __asm idiv ecx
    
    __except (FilterHandler(GetExceptionCode(), GetExceptionInformation()))
    
        // 这里永远不会执行，因为不是 EXCEPTION_EXECUTE_HANDLER(1)
        printf("__except (EXCEPTION_EXECUTE_HANDLER)\\n");
    
?
    printf("异常处理成功!");
    system("pause");
?
    return 0;