Windows內核調試器原理淺析(一)

WinDBG和用戶(hù)調試器一點(diǎn)很大不同是內核調試器在一臺機器上啟動(dòng)，通過(guò)串口調試另一個(gè)相聯(lián)系的以Debug方式啟動(dòng)的系統，這個(gè)系統可以是虛擬機上的系統，也可以是另一臺機器上的系統(這只是微軟推薦和實(shí)現的方法，其實(shí)象SoftICE這類(lèi)內核調試器可以實(shí)現單機調試)。很多人認為主要功能都是在WinDBG里實(shí)現，事實(shí)上并不是那么一回事，windows已經(jīng)把內核調試的機制集成進(jìn)了內核，WinDBG、kd之類(lèi)的內核調試器要做的僅僅是通過(guò)串行發(fā)送特定格式數據包來(lái)進(jìn)行聯(lián)系，比如中斷系統、下斷點(diǎn)、顯示內存數據等等。然后把收到的數據包經(jīng)過(guò)WinDBG處理顯示出來(lái)。    

    在進(jìn)一步介紹WinDBG之前，先介紹兩個(gè)函數：KdpTrace、KdpStub，我在《windows異常處理流程》一文里簡(jiǎn)單提過(guò)這兩個(gè)函數?，F在再提一下，當異常發(fā)生于內核態(tài)下，會(huì )調用KiDebugRoutine兩次，異常發(fā)生于用戶(hù)態(tài)下，會(huì )調用KiDebugRoutine一次，而且第一次調用都是剛開(kāi)始處理異常的時(shí)候。

    當WinDBG未被加載時(shí)KiDebugRoutine為KdpStub，處理也很簡(jiǎn)單，主要是對由int 0x2d引起的異常如DbgPrint、DbgPrompt、加載卸載SYMBOLS(關(guān)于int 0x2d引起的異常將在后面詳細介紹)等，把Context.Eip加1，跳過(guò)int 0x2d后面跟著(zhù)的int 0x3指令。

    真正實(shí)現了WinDBG功能的函數是KdpTrap，它負責處理所有STATUS_BREAKPOINT和STATUS_SINGLE_STEP(單步)異常。STATUS_BREAKPOINT的異常包括int 0x3、DbgPrint、DbgPrompt、加載卸載SYMBOLS。DbgPrint的處理最簡(jiǎn)單，KdpTrap直接向調試器發(fā)含有字符串的包。DbgPrompt因為是要輸出并接收字符串，所以先將含有字符串的包發(fā)送出去，再陷入循環(huán)等待接收來(lái)自調試器的含有回復字符串的包。SYMBOLS的加載和卸載通過(guò)調用KdpReportSymbolsStateChange，int 0x3斷點(diǎn)異常和int 0x1單步異常(這兩個(gè)異?；旧鲜莾群苏{試器處理得最多的異常)通過(guò)調用KdpReportExceptionStateChange，這兩個(gè)函數很相似，都是通過(guò)調用KdpSendWaitContinue函數。KdpSendWaitContinue可以說(shuō)是內核調試器功能的大管家，負責各個(gè)功能的分派。這個(gè)函數向內核調試器發(fā)送要發(fā)送的信息，比如當前所有寄存器狀態(tài)，每次單步后我們都可以發(fā)現寄存器的信息被更新，就是內核調試器接受它發(fā)出的包含最新機器狀態(tài)的包；還有SYMBOLS的狀態(tài)，這樣加載和卸載了SYMBOLS我們都能在內核調試器里看到相應的反應。然后KdpSendWaitContinue等待從內核調試器發(fā)來(lái)的包含命令的包，決定下一步該干什么。讓我們來(lái)看看KdpSendWaitContinue都能干些什么：

        case DbgKdReadVirtualMemoryApi:
            KdpReadVirtualMemory(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdReadVirtualMemory64Api:
            KdpReadVirtualMemory64(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdWriteVirtualMemoryApi:
            KdpWriteVirtualMemory(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdWriteVirtualMemory64Api:
            KdpWriteVirtualMemory64(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdReadPhysicalMemoryApi:
            KdpReadPhysicalMemory(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdWritePhysicalMemoryApi:
            KdpWritePhysicalMemory(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdGetContextApi:
            KdpGetContext(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdSetContextApi:
            KdpSetContext(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdWriteBreakPointApi:
            KdpWriteBreakpoint(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdRestoreBreakPointApi:
            KdpRestoreBreakpoin(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdReadControlSpaceApi:
            KdpReadControlSpace(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdWriteControlSpaceApi:
            KdpWriteControlSpace(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdReadIoSpaceApi:
            KdpReadIoSpace(&ManipulateState,&MessageData,ContextRecord);
            break;

        case DbgKdWriteIoSpaceApi:
            KdpWriteIoSpace(&ManipulateState,&MessageData,ContextRecord);
            break;

 

--------------------------------------------------------------------------------