Переписываю сейчас свое отладочное ядро, решил сделать всё по уму, как MSDN рекомендует и т.д.

Так вот собственно появилась проблема.
После полной загрузки образа и настройки его импорта, система дергает DebugBreak апи, что является банальным int 3. При этом отладчик должен отчитаться системе, что это исключение он обработал, иначе ExitProcess(0x80000003). Теперь вопрос: Как определить, что DebugBreak вызывала именно система? Ведь до DebugBreak загружаются все библиотеки из импорта, и в одной из них на DLLMain может быть вызов:

try
DebugBreak;
debugger_detected := True;
except
debugger_detected := False;
end;

Адрес исключения будет системный, по каким то признакам не поймешь система это вызвала или библиотека. Что скажите?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

CREATE_PROCESS_DEBUG_EVENT : ;
EXCEPTION_DEBUG_EVENT : ;
EXIT_PROCESS_DEBUG_EVENT : ;

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax что то я не понял, что это значит. Если по твоему объяснять, то вот лог:



Если лог изменится так:


Как мне узнать, что первые 2 исключения нужно пропустить?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

if(de.dwDebugEventCode == EXCEPTION_DEBUG_EVENT && de.u.Exception.ExceptionRecord.ExceptionCode == EXCEPTION_BREAKPOINT)
ContinueDebugEvent(de.dwProcessId,de.dwThreadId,DBG_CONTINUE);
else
ContinueDebugEvent(de.dwProcessId,de.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);

| Сообщение посчитали полезным:

> система дергает DebugBreak апи
На первый раз ставишь свои бряки. На следующих вызовах (переменную глобальную введи) проверяешь EIP уже через getthreadcontext(), свое или не свое. Очень давно с этим занимался, деталей могу не помнить. И если понял вопрос правильно

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Блин как реализовывать я знаю, у меня полноценное ядро написано, с int 3 бряками, Hardware бряками, memory бряками, трассировкой с условиями и без... Мне чисто теория была интересна.

В общем разобрался. Оказывается винда сама всё делает за кодера. Если грузится DLL и на DLLMain вызывается DebugBreak, то винда преждевременно вызывает свой DebugBreak и только потом DebugBreak из DLL, ну а дальше продолжает грузить остальные библиотеки и больше DebugBreak не вызывает. Не ожидал если честно такой умной реакции от MS.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Такой еще вопрос, перемещается ли база системных библиотек kernel32.dll и ntdll.dll на win7 с включеной рандомизацией адресов?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Такой еще вопрос, перемещается ли база системных библиотек kernel32.dll и ntdll.dll на win7 с включеной рандомизацией адресов?

Только в пределах одной сессии, тоесть после ребута будет другая база.

| Сообщение посчитали полезным:

Ну т.е. и ntdll.dll тоже перемещается?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

После ребута нтдлл тоже сползёт, как и все либы. Но у разных процессов одной сессии база нтдлл одна. Не совсем представляю, как отладчику может помешать смена базы при ребуте. Разве что если базу совсем железно захардкодить, но это непохек.

| Сообщение посчитали полезным:

А понял, т.е. если в моем процессе база ntdll: 7C0000 то и во всех других процессах в системе база ntdll:7C0000? Ну а после перезагрузки она другая, но для всех процессов одинаковая, так?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Так. Недавно кто-то писал что в ntdll есть адреса колбеков из ядра, поэтому она не перемещается в пределах сессии.

| Сообщение посчитали полезным:

Я писал, так и есть, типа KiUserExceptionDispatcher, ...ApcDispatcher и тд, туда управление из ядра приходит при разных событиях. Поэтому база одинакова для всех процессов. Возможно, в 7 они такую явную костыльность чуть облегчили, я хз, явно исследовал на это только хр. Но в пределах сессии во всех НТ база нтдлл для всех процессов одна, да.

| Сообщение посчитали полезным:

Добил я проблему, которую описывал в первом посте. Всё оказалось еще проще. Винда сначала грузит процесс и создает тред, потом грузит все необходимые DLL, потом дергает DebugBreak и ТОЛЬКО ПОТОМ обрабатывает DLLMain загруженных DLL, ну и идет на EP процесса. Отсюда следует что проблемы то и нет.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Как понимать в описаниях параметров API [in], [out]

| Сообщение посчитали полезным:

nikolay1940trof, ну настолько не знать основ и даже английского. Ох...

--> in <--

--> out <--

_____________
Вообще, вопросы для новичков для этого есть. А такой вопрос предполагает гораздо больше. Считай с нуля все придется объяснять. Кто хочет, берите шефство. ТС тему не закрыл - может ему еще надо, но это не значит, что сюда можно писать, увидев знакомое слово!

-----
IZ.RU

| Сообщение посчитали полезным:

nikolay1940trof пишет:
Как понимать в описаниях параметров API [in], [out]
in - входной параметр (например путь к файлу для чтения или записи)
out - выходной параметр (например в WriteFile- количество записанных байт)

| Сообщение посчитали полезным:

Спсибо понял

От модератора: для спасибо тут отдельная кнопка есть, пользуйся

| Сообщение посчитали полезным:

Не хочу создавать новую тему, поэтому задам вопрос тут.

Пишу трейсер на Debug api, процесс создаю только с параметром DEBUG_PROCESS, т.е. хочу получать события и от дочерних процессов.
Имею следующую проблему - если главный отлаживаемый процесс создает дочерний замороженный процесс, инжектит в него и отпускает дальше, а сам закрывается то получаю картину вроде такой:

как видно евента о создании процесса с pid 394 не приходит, да и вообще каких либо евентов от 394 больше не получаю. В чем прикол?

Ставлю TF в этом потоке - приходит single_step, и с какими бы правами ни открывал поток - dr регистры не читает. CONTEXT_DEBUG_REGISTERS прописан

| Сообщение посчитали полезным:

PeKill пишет:
ТОЛЬКО ПОТОМ обрабатывает DLLMain загруженных DLL Исключение:kernel32. Отрабатывает после ntdll и перед DbgBreak. У мну так.
Veliant
PID 440 олькой(обычным дбг) открывается?

| Сообщение посчитали полезным:

Откуда взялся поток выяснил, почему он с отдельным pid пока не смотрел. Осталось бы решить почему на single_step нельзя прочесть dr регистры, независимо от того с какими параметрами открыт поток, и флаги структуры

| Сообщение посчитали полезным: