问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
软件调试详解
在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系。
0x00 前言 ======= 在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系。 0x01 调试对象 ========= 我们知道在windows里面,每个程序的低2G是独立使用的,高2G(内核)区域是共用的。那么我们假设一个场景,我们的调试器要想和被调试程序之间建立通信肯定就需要涉及到进程间的通信以及数据的交换,如果这个过程放在3环完成,不停的进程通信会很繁琐,所以windows选择将这个过程放在0环进行 调试器与被调试程序之间建立起联系的两种方式 - CreateProcess - DebugActiveProcess 与调试器建立连接 -------- 首先看一下`DebugActiveProcess` ![image-20220331111629799.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-536e60b0245a5f6c4955eb4a8d987060408249d8.png) 调用`ntdll.dll`的`DbgUiConnectToDbg` ![image-20220331111914219.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8150dce0c202b349c4df4bfb71b4ee36d291abf1.png) ![image-20220331112008360.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-d82626026696a3ce40a42f72cffa057a05eb05a9.png) 再调用`ZwCreateDebugObject` ![image-20220331112048790.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-d2c2af1f0509a265aa270a9952b7ceba39df3d30.png) 通过调用号进入0环 ![image-20220331112119321.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-49e550925ef83314cb73eb14918c379f79f420f0.png) 进入0环创建`DEBUG_OBJECT`结构体 ```c++ typedef struct _DEBUG_OBJECT { KEVENT EventsPresent; FAST_MUTEX Mutex; LIST_ENTRY EventList; ULONG Flags; } DEBUG_OBJECT, *PDEBUG_OBJECT; ``` 然后到`ntoskrnl`里面看一下`NtCreateDebugObject` ![image-20220331113057515.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3365231bb2679b8914683df00f6b8d60604f4eb2.png) 然后调用了`ObInsertObject`创建`DebugObject`结构返回句柄 ![image-20220331113136955.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3a33ee017dea79703fb48215afde959f342859ad.png) 再回到`ntdll.dll`,当前线程回0环创建了一个`DebugObject`结构,返回句柄到3环存放在了TEB的`0xF24`偏移处 也就是说,遍历TEB的`0xF24`偏移的地方,如果有值则一定是调试器 ![image-20220331113252356.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-d496e9aae69c8e445fe7b2f8fcad8e6a582c396f.png) 与被调试程序建立连接 ---------- 还是回到`kernel32.dll`的`DebugActiveProcess`,获取句柄之后调用了`DbgUiDebugActiveProcess` ![image-20220331114614705.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6012e127ba052c69363391b2a52fad245abb898f.png) 调用`ntdll.dll`的`DbgUiDebugActiveProcess` ![image-20220331114716677.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-40c38b3c932a1ed75c01e361f828326dd72c5cbe.png) 跟到`ntdll.dll`里面的`DbgUiDebugActiveProcess`,传入两个参数,分别为调试器的句柄和被调试进程的句柄 ![image-20220331114846279.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c57603194bf65b82c3f3ae528f59b760166b35e8.png) 通过调用号进0环 ![image-20220331115013208.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-7784a963e61c24ced2e8d673bfa25a9c172a690b.png) 来到0环的`NtDebugActiveProcess`, 第一个参数为被调试对象的句柄,第二个参数为调试器的句柄 ![image-20220331115116879.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-bd9d21358f49793ace4c071a0cd27bf26b794364.png) 执行`ObReferenceObjectByHandle`,把被调试进程的句柄放到第五个参数里面,这里eax本来存储的是调试器的`EPROCESS`,执行完之后eax存储的就是被调试进程的`EPROCESS` ![image-20220331120028495.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5ce240231b1939d445c78a324e73b7ca6c4c5e7c.png) 这里判断调试器打开的进程是否是自己,如果是自己则直接退出 ![image-20220331143227822.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-79f82d501eaca74228e90e41029085a042161dce.png) 也不能调试系统初始化的进程 ![image-20220331143429325.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8e996b0462d7c0921ebf54fdf67dd9c8597a35fd.png) 然后获取调试对象的地址,之前是句柄,但是句柄在0环里面是无效的,这里就要找真正的地址 ![image-20220331143605658.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8a9d33efe3a0b84169834b9b811a18639fe2423f.png) 获取到调试对象的地址之后还是存到`ebp+Process`的地方,这里之前是被调试对象的地址,现在存储的是调试对象的地址 ![image-20220331143902163.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-7e9e580c930a6af8b4a9158bfa52d4a51a31ee4f.png) 将调试进程和被调试的`PEPROCESS`传入`_DbgkpSetProcessDebugObject`,将调试对象和被调试进程关联起来 ![image-20220331145648149.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0a15aa8a71b48f2a5d1cdbc0e9c3bce73c63d10a.png) 跟进函数,发现有判断`DebugPort`是否为0的操作,ebx为0,edi为被调试进程的EPROCESS,那么`edi+0bc`就是调试端口 ![image-20220331145849944.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-49c1ba45f56367ac532c3ba5a63fe246a21e44f3.png) 然后再把调试对象的句柄放到被调试对象的`DebugPort`里面 ![image-20220331150347451.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5ae484f9478a772cfc486f175d257aba5e70678b.png) 0x02 调试事件的采集 ============ 调试事件的种类 ```c++ typedef enum _DBGKM_APINUMBER { DbgKmExceptionApi = 0, //异常 DbgKmCreateThreadApi = 1, //创建线程 DbgKmCreateProcessApi = 2, //创建进程 DbgKmExitThreadApi = 3, //线程退出 DbgKmExitProcessApi = 4, //进程退出 DbgKmLoadDllApi = 5, //加载DLL DbgKmUnloadDllApi = 6, //卸载DLL DbgKmErrorReportApi = 7, //已废弃 DbgKmMaxApiNumber = 8, //最大值 } DBGKM_APINUMBER; ``` 调试事件的采集函数 ![image-20220331160251734.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5c491d4d6a0d966ce2be6448cd4e71581228c26f.png) 当创建进程或者线程的时候,一定会调用`PspUserThreadStartup` ![image-20220331160332662.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-1a68ae2d04711d29af33ba9269dcab0f6f5d4452.png) 判断当前线程是否为当前进程的第一个线程,如果是的话就生成一个编号为1的调试事件 ![image-20220331160457595.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9b907fb0c77f506c07f0298772325a7d44752276.png) 再看一下退出线程必经的函数`PspExitThread` ![image-20220331172528276.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-baeadf33359b2265171912c465478efb21ecdcaf.png) 判断`Debugport`是否为0,如果为0则不搜集信息 ![image-20220331172641988.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-bd1acb9f85e7c4dc3d5d8ead906a5abca776f413.png) ![image-20220331173503130.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5113927636ed5077a806426f7aa093dd5d1dd5a2.png) 进入跳转,判断这个线程是不是当前最后一个线程,如果是则调用`DbgkExitProcess` ![image-20220331173645459.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-869cf369f75770a05746173630c1d1c36e0773e3.png) 如果不是则调用`DbgkExitThread` ![image-20220331174052501.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-677d3d45963b0aca82d69610065bdf589eb4cab5.png) DbgkpSendApiMessage ------------------- `DbgkpSendApiMessage`这个api主要就是将各种调试信息封装成一个结构体写到`_DEBUG_OBJECT`结构里面,无论是哪种事件,最后都会调用`DbgkpSendApiMessage`,如果想隐藏进程/线程的创建,就可以给`DbgkCreateThread`挂钩子,如果想隐藏所有的调试事件那么就可以给`DbgkpSendApiMessage`挂钩子 ![image-20220331174541264.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-40d68ec120479770833242fd022f71579849d192.png) 这里跟一下`DbgkExitThread`找`DbgkpSendApiMessage`的过程,跟进函数直接就可以看到`DbgkpSendApiMessage` ![image-20220331174839809.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-e56dc919d530cdf81fa25c41805f7cfc2544bfe2.png) 所有搜集调试事件的api都会调用`DbgkpSendApiMessage` ![image-20220331175318674.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-461c880212f9b05ae7139d7dceed7b7e788b0767.png) ![image-20220331175326227.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-2cd7b6f72436faa0dadb0009615d4fe58ff5a41a.png) `DbgkpSendApiMessage(x, x)`参数说明: 1\) 第一个参数:消息结构 每种消息都有自己的消息结构 共有7种类型 2\) 第二个参数:要不要把本进程内除了自己之外的其他线程挂起。 有些消息需要把其他线程挂起,比如CC 有些消息不需要把线程挂起,比如模块加载。`DbgkSendApiMessage`是调试事件收集的总入口,如果在这里挂钩子,调试器将无法调试。 LoadLibrary ----------- 首先在`kernel32.dll`里面调用`RtlAllocateHeap` ![image-20220331175840245.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5f9f1fa47543e20b1167ad8210ee8263b47de414.png) 然后跟到`ntdll.dll`调用了`NtQueryPerformanceCounter` ![image-20220331175913433.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-b6e9c574250ac8ac5aed4e6070059037e51f3dc1.png) 通过调用号进0环 ![image-20220331175926381.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-b175fb0a84e6cfdae90b884752271e900f1f8a98.png) ![image-20220331175949840.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-27696d7e343852af61683a371af8e563a9ba1194.png) 总结来说,`LoadLibrary`首先调用`CreateMapping`创建一块共享内存,再通过`NtMapViewOfSection`映射到线性地址,调用`DbgkMapViewOfSection`将结构体发送给`DbgkpSendApiMessage` \_DEBUG\_OBJECT --------------- ```c++ typedef struct _DEBUG_OBJECT { KEVENT EventsPresent; //+00 用于指示有调试事件发生 FAST_MUTEX Mutex; //+10 用于同步互斥对象 LIST_ENTRY EventList; //+30 保存调试消息的链表 ULONG Flags; //+38 标志 调试消息是否已读取 } DEBUG_OBJECT, *PDEBUG_OBJECT; ``` 调试事件的处理 ------- 因为每种事件的调试信息不一样,所以会有很多种类(7种)的api去采集 ![image-20220331220729871.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-7e6a712ebee74d5f13578cf9c2d0d8479a9ce249.png) 编号的值也是对应的 ![image-20220331221540163.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-a9eadeb693261bf96bf29d389dc023d4de6005d9.png) ![image-20220331221558581.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-ad70a8519ae2e57b38d43fabeef73e66e1898e9d.png) ```c++ // Debug1.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <iostream> #include <Windows.h> #include <stdlib.h> void TestDebugger() { BOOL nIsContinue = NULL; STARTUPINFOA sw = { 0 }; PROCESS_INFORMATION pInfo = { 0 }; auto retCP = CreateProcessA("C:\\Dbgview.exe",NULL, NULL, NULL, TRUE,DEBUG_PROCESS|| DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &sw, &pInfo); if (retCP == 0) { printf("CreateProcess error : %d\n", GetLastError()); return; } while (TRUE) { DEBUG_EVENT debugEvent = { 0 }; auto rDebugEvent = WaitForDebugEvent(&debugEvent, -1); if (rDebugEvent) { switch (debugEvent.dwDebugEventCode) { case EXCEPTION_DEBUG_EVENT: printf("EXCEPTION_DEBUG_EVENT\n"); break; case CREATE_THREAD_DEBUG_EVENT: printf("CREATE_THREAD_DEBUG_EVENT\n"); break; case CREATE_PROCESS_DEBUG_EVENT: printf("CREATE_PROCESS_DEBUG_EVENT\n"); break; case EXIT_THREAD_DEBUG_EVENT: printf("EXIT_THREAD_DEBUG_EVENT\n"); break; case EXIT_PROCESS_DEBUG_EVENT: printf("EXIT_PROCESS_DEBUG_EVENT\n"); break; case LOAD_DLL_DEBUG_EVENT: printf("LOAD_DLL_DEBUG_EVENT\n"); break; case UNLOAD_DLL_DEBUG_EVENT: printf("UNLOAD_DLL_DEBUG_EVENT\n"); break; case OUTPUT_DEBUG_STRING_EVENT: printf("OUTPUT_DEBUG_STRING_EVENT\n"); break; } } //在发送事件event给调试器debugger时,被调试进程会被挂起,直到调试器调用了continueDebugEvent函数 ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId,DBG_CONTINUE); } } int main() { TestDebugger(); system("pause"); return 0; } ``` 这里用调试模式启动windbg ![image-20220401105959845.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-50f877f250a390eeca399592c7d2c228ca0b8d56.png) 可以发现这里有一个异常,这里先打印一下异常处理返回的代码 ```c++ printf("EXCEPTION_DEBUG_EVENT : %x %x %x\n",debugEvent.u.Exception.ExceptionRecord.ExceptionAddress,debugEvent.u.Exception.ExceptionRecord.ExceptionCode,debugEvent.u.Exception.ExceptionRecord.ExceptionFlags); ``` ![image-20220401110739388.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c5939b668b531ba36af098182df5939c07057cf5.png) 将程序拖入OD看到系统有一个`int3`断点 ![image-20220401111013210.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-dcb1f01dbd3142d770da2ac8aa94bf26e280f8bd.png) 那么为什么会有一个异常处理的事件呢?这里首先看一下进程的创建过程 ```c++ 1.映射exe文件 2.创建内核对象EPROCESS 3.映射系统dll(ntdll.dll) 4.创建线程内核对象ETHREAD 5.系统启动线程 映射dll(ntdll.LdrInitializeThunk) 线程开始执行 ``` 在映射dll的过程中调用了`LdrInitializeThunk`这个api,`LdrInitializeThunk`会调用`LdrpInitializeProcess`初始化进程 首先找到TEB,然后找TEB的0x30偏移的PEB放入ebx ![image-20220401111818596.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-fad66ac69dee01bd670c3891454185233c822325.png) `DbgBreakPoint`其实就是`int3`的封装 ![image-20220401111950688.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-25185cf91a15c90f34317d9293aefe6e14e759c0.png) 看一下交叉引用,可以看到`LdrpRunInitializeRoutines`引用了`DbgBreakPoint` ![image-20220401112037459.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-68f721e867e27faa065bdb6318fd490926f49559.png) 这里只有当程序处于调试模式的时候才会启动 ![image-20220401112129503.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0ae882dea80a828af326883a9a46b7d8114e438e.png) 在内核文件里面看一下`NtDebugActiveProcess` ![image-20220401113546366.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-f4878c2d2bd35a34aceebbfb1568134624735450.png) 会发送线程和模块的加载信息 ![image-20220401113811656.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-f463e0c4ff8bc92bd8c049a97ea4ecbb381c5b16.png) 但是这个信息是不靠谱的,因为这个api是通过遍历PEB链表的方式来寻找模块 在PEB的Ldr结构里面有三个模块,`DbgkpPostFakeProcessCreateMessages`这个api就是通过查询这个结构来判断加载了哪些模块 也就是说当程序加载完成之后,这个api才会去链表里面找模块,但是这个时候可能信息已经被摘除,所以如果要想更准确的获取信息,就可以通过遍历vad树的方式来获取1 0x03 异常的处理流程 ============ 处理流程 ![image-20220401135907896.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-cf5f72d63a47f20855f62d6c80cbf850f64470df.png) 正常的异常处理流程 ![image-20220401140234726.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-52c99900c839ce8f51ff4ac29a9c26bfc614a959.png) 产生异常的时候首先会将异常传递给调试器,如果调试器不处理则继续寻找异常处理函数 这里设置为异常为忽略的话就会执行自己的异常处理函数 ![image-20220401140635618.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9c76fc486950255870cee1c7c5d318a11532b275.png) ![image-20220401141003958.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-363b0e7f7e1f57174514f1166a53589d41b3d6ff.png) 如果设置为不忽略的情况下就会一直断在某一行 ![image-20220401141053693.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9b2983a98d5ce73fa012886e6fc294f5370c0a2c.png) UnhandledExceptionFilter ------------------------ 相当于编译器为我们生成了一段伪代码 ```c++ __try { } __except(UnhandledExceptionFilter(GetExceptionInformation()) { //终止线程 //终止进程 } ``` 只有程序被调试时,才会存在未处理异常 `UnhandledExceptionFilter`的执行流程: ```c++ 1) 通过NtQueryInformationProcess查询当前进程是否正在被调试,如果是,返回EXCEPTION_CONTINUE_SEARCH,此时会进入第二轮分发 2) 如果没有被调试: 查询是否通过SetUnhandledExceptionFilter注册处理函数 如果有就调用 如果没有通过SetUnhandledExceptionFilter注册处理函数 弹出窗口 让用户选择终止程序还是启动即时调试器 如果用户没有启用即时调试器,那么该函数返回EXCEPTION_EXECUTE_HANDLER ``` SetUnhandledExceptionFilter --------------------------- 如果没有通过`SetUnhandledExceptionFilter`注册异常处理函数,则程序崩溃 ![image-20220401142104425.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3ff5c5353104fc273f5cd4e5bbb9f32eeb10d935.png) ![image-20220401142146258.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-2aba21520d869c0495aa0c1666bcb729ab8e2aa9.png) 测试代码如下,我自己构造一个异常处理函数`callback`并用`SetUnhandledExceptionFilter`注册,构造一个除0异常,当没有被调试的时候就会调用`callback`处理异常,然后继续正常运行,如果被调试则不会修复异常,因为这是最后一道防线,就会直接退出,起到反调试的效果 ```c++ // SEH7.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> long _stdcall callback(_EXCEPTION_POINTERS* excp) { excp->ContextRecord->Ecx = 1; return EXCEPTION_CONTINUE_EXECUTION; } int main(int argc, char* argv[]) { SetUnhandledExceptionFilter(callback); _asm { xor edx,edx xor ecx,ecx mov eax,0x10 idiv ecx } printf("Run again!"); getchar(); return 0; } ``` 直接启动可以正常运行 ![image-20220329113645787.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-4ab325cd1653819c2315688eedc8477ab503f00a.png) 使用od打开则直接退出 ![image-20220329113851211.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-f6be3bb77f2dc9a1167ad85caf6e6a01841e40d3.png) ![image-20220329113905022.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6d49f22fd4db9a89df1cf3fcef411d62b9cf8834.png) ```c++ // Debug3.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> DWORD g_Test = 0; LONG NTAPI TopLevelExceptFilter(PEXCEPTION_POINTERS pExcepinfo) { printf("The top_function fix the exception!\n"); g_Test = 1; return EXCEPTION_CONTINUE_EXECUTION; } int main(int argc, char* argv[]) { int x = 0; int y = 100; SetUnhandledExceptionFilter(&TopLevelExceptFilter); x = y/g_Test; printf("正常逻辑开始执行\n"); for (int i=0;i<10;i++) { ::Sleep(1000); printf("%d\n", i); } getchar(); return 0; } ``` 正常情况下执行程序 ![image-20220401144025331.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-59819eb6d877d988cf7cfc62a722230e826cecc6.png) 如果是调试程序则直接退出 ![image-20220401144253203.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3347aed96ff66c5bff54decbfd8faacf81194359.png)
发表于 2022-04-15 09:44:27
阅读 ( 5923 )
分类:
漏洞分析
2 推荐
收藏
0 条评论
请先
登录
后评论
szbuffer
30 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!