想要调试一个程序有两种方法,第一种是使用CreateProcess函数创建进程并调试它,另一种是使用DebugActiveProcess函数附加到目标进程调试。这两个函数内部都会创建一个调试对象,将调试对象的句柄保存在调试线程的TEB中,将调试对象保存在目标进程的debugport中,这样两个进程就建立起了联系。当发生调试事件的时候,操作系统会将调试事件结构体挂入调试对象的事件链表中,调试器通过获取调试事件数据来达到调试的目的。
至此,我们已经与目标进程建立起了调试关系,接下来,我们主要来分析操作系统是怎么处理用户态调试事件的。
系统:Win10 1511 Build:10586.
0x0:IDT表
在保护模式下,当有中断或异常发生时,CPU是通过中断描述符表(Interrupt Descriptor Table,简称IDT)来寻找处理函数的。因此,可以说IDT表是CPU(硬件)与操作系统(软件)交接中断和异常的关口(Gate)。
简单来说,IDT表是一张位于物理内存中的线性表,共有256个表项。在IA-32E(64位)模式下,每个IDT表项长度是16个字节,IDT表的总长的是4096字节(4KB)。在32位模式下,每个IDT表项长度是8个字节,IDT表的总长度是2048字节(2KB)。32位与64位主要差异在于地址长度的变化。
IDT表的每个表项是一个所谓的门描述符(Gate Descriptor)结构。之所以这样称呼,是因为IDT表项的基本用途就是引领CPU从一个空间到另一个空间去执行,每个表项好像一个从一个空间到另一个空间的大门(Gate)。在穿越这扇门的时候,CPU会做必要的安全检查和准备工作。
IDT表可以包含以下3种描述符。
任务门(Task-gate)描述符:用于任务切换,里面包含用于选择任务状态段(TSS)的段选择子。可以使用JMP或CALL指令通过任务门来切换到任务门所指向的任务,当CPU因为中断或异常转移到任务门的时候,也会切换到指定的任务。
中断门(interrupt-gate)描述符:用于描述中断处理例程的入口。
陷阱们(trap-gate)描述符:用于描述异常处理例程的入口。
下图描述了3种门描述符内容布局:
0x1:调试的本质
调试的本质其实就是异常的处理,当异常发生时,会调用IDT表中对应的异常处理函数。
日常调试中主要用的有三种异常,硬件断点(设置调试寄存器产生的断点),软件断点(int3断点),内存断点(内存异常产生的断点)。不同类型的异常调用的处理程序略有不同,但是差别不大。
不同的异常(或中断)有不同的中断向量号。
当异常发生时,处理器会根据向量号去IDT表中查找对应的门描述符并且调用其处理程序。调用处理程序时,会根据门描述符的 TYPE位来确定要压栈的参数,根据CPL和DPL来判断需不需要切换栈。
当处理器调用异常处理程序时,如果CPL小于DPL,则会发生栈切换,也就是从用户栈切换到内核栈,内核栈的SS,ESP从TSS中获取。有关这方面的细节,请参考保护模式相关知识,这里不再详细说明。
本篇文章的重点在于异常发生后,操作系统的处理流程是什么样的,下面以int3断点的处理流程进行分析。
0x2:异常处理的起点
当代码运行到Int3时,会引发一个int3中断,CPU会去IDT找到3号中断所对应的IDT表项,执行对应的处理代码:
sub rsp, 8 push rbp sub rsp, 158h lea rbp, [rsp+80h] mov byte ptr [rbp-_KTRAP_FRAME.ExceptionActive], 1 mov [rbp-_KTRAP_FRAME.rax], rax mov [rbp-_KTRAP_FRAME.rcx], rcx mov [rbp-_KTRAP_FRAME.rdx], rdx mov [rbp-_KTRAP_FRAME.r8], r8 mov [rbp-_KTRAP_FRAME.r9], r9 mov [rbp-_KTRAP_FRAME.r10], r10 mov [rbp-_KTRAP_FRAME.r11], r11 test byte ptr [rbp+_KTRAP_FRAME.SegCs], 1 ; 判断CPL确定当前特权级别,如果是内核模式就跳转 jz short loc_14014A3E1 swapgs ; 切换GS寄存器,相当于x32的FS寄存器,在应用层指向的是TEB,在内核模式下应指向KPCR mov r10, gs:_KPCR.Prcb.CurrentThread test byte ptr [r10+CurrentThread.Header.DebugActive], 80h ; 判断UmsPrimary是否置位 jz short loc_14014A3CC mov ecx, 0C0000102h rdmsr shl rdx, 20h or rax, rdx cmp [r10+CurrentThread.Teb], rax jz short loc_14014A3CC cmp [r10+CurrentThread.TebMappedLowVa], rax jz short loc_14014A3CC mov rdx, [r10+CurrentThread.Ucb] bts dword ptr [r10+.CurrentThread.SystemAffinityActive], 8 dec word ptr [r10+CurrentThread.SpecialApcDisable] mov [rdx+80h], rax loc_14014A3CC: ; CODE XREF: KiBreakpointTrap+4E↑j ; KiBreakpointTrap+65↑j ... test byte ptr [r10+CurrentThread.Header.DebugActive], 3 ; 判断ActiveDR7或Instrumented是否置位 mov word ptr [rbp+_KTRAP_FRAME.ErrorCode], 0 jz short loc_14014A3E1 ; 如果ActiveDR7和Instrumented都没置位,则不保存调试寄存器 call KiSaveDebugRegisterState loc_14014A3E1: ; CODE XREF: KiBreakpointTrap+3B↑j 内核模式 ; KiBreakpointTrap+9A↑j cld ; stmxcsr dword ptr [rbp-_KTRAP_FRAME.MxCsr] ldmxcsr dword ptr gs:_KPCR.Prcb movaps xmmword ptr [rbp-_KTRAP_FRAME.Xmm0], xmm0 movaps xmmword ptr [rbp+_KTRAP_FRAME.xmm1], xmm1 movaps xmmword ptr [rbp+_KTRAP_FRAME.xmm2], xmm2 movaps xmmword ptr [rbp+_KTRAP_FRAME.xmm3], xmm3 movaps xmmword ptr [rbp+_KTRAP_FRAME.xmm4], xmm4 movaps xmmword ptr [rbp+_KTRAP_FRAME.xmm5], xmm5 test dword ptr [rbp+_KTRAP_FRAME.EFlags], 200h ; 判断Eflags寄存器的IF位,是否响应可屏蔽中断,置位则响应 jz short loc_14014A414 sti ; 将Eflags寄存器的IF位置位 loc_14014A414: ; CODE XREF: KiBreakpointTrap+D1↑j mov ecx, 80000003h ; 参数1:异常代码 mov edx, 1 参数2 mov r8, [rbp+0E8h] ; 触发异常的下一条指令 dec r8 参数3:重新指向Int3那条指令 mov r9d, 0 参数4 <strong>call KiExceptionDispatch</strong> nop retn</span>
可以看到,处理函数的主要工作就是构建了一个_KTRAP_FRAME结构体,操作系统用这个结构体保存异常处的执行环境,当异常处理完成的时候操作系统要根据这个结构体返回三环。
第一个sub rsp,8是因为要空出来一个ErrorCode的空间,因为处理器调用中断处理程序时会自动像栈中压入一些参数,int3中断压入的参数是SS,RSP,Eflags,CS,RIP,但是有的中断会在此之上在压入一个ErrorCode,所以Int3的处理程序为了统一,需要在入口处sub Rsp,8空出来一个ErrorCode的位置。
然后将rbp压栈,继续提升栈顶开始构建_KTRAP_FRAME结构体,保存好一些通用寄存器后,判断CPL是否为内核态,如果不是内核态则切换GS寄存器。在X64中,由GS寄存器替代了FS寄存器的作用,在应用层GS指向TEB,到内核层GS指向KPCR,所以如果不是应用层的话就需要切换GS寄存器。
然后根据CurrentThread.Header.DebugActive的ActiveDR7和Instrumented来判断是否要保存调试寄存器,当结构体构建完成后,就准备调用KiExceptionDispatch函数进行异常分发。
0x3:KiExceptionDispatch
需要指出的是nt!KiExceptionDispatch (和nt!KiBreakpointTrap一样)是用手工汇编写成。它假设ecx包含异常代码,edx是异常参数的数量(最多3个),r8包含异常发生的地址,r9是第一个异常参数(如果有存在),r10是第二个异常参数(如果存在),r11是第三个异常参数(如果存在),rbp指向_KTRAP_FRAME结构体中的一个段(位于偏移+0x80处)
sub rsp, 1D8h ; 提升栈顶,构建_KEXCEPTION_FRAME和_EXCEPTION_RECORD结构体 lea rax, [rsp+100h] movaps xmmword ptr [rsp+_KEXCEPTION_FRAME.xmm6], xmm6 movaps xmmword ptr [rsp+_KEXCEPTION_FRAME.xmm7], xmm7 movaps xmmword ptr [rsp+_KEXCEPTION_FRAME.xmm8], xmm8 movaps xmmword ptr [rsp+_KEXCEPTION_FRAME.xmm9], xmm9 movaps xmmword ptr [rsp+_KEXCEPTION_FRAME.xmm10], xmm10 movaps xmmword ptr [rax-_KEXCEPTION_FRAME.xmm11], xmm11 movaps xmmword ptr [rax-_KEXCEPTION_FRAME.xmm12], xmm12 movaps xmmword ptr [rax-_KEXCEPTION_FRAME.xmm13], xmm13 movaps xmmword ptr [rax-_KEXCEPTION_FRAME.xmm14], xmm14 movaps xmmword ptr [rax-_KEXCEPTION_FRAME.xmm15], xmm15 mov [rax+_KEXCEPTION_FRAME.rbx], rbx mov [rax+_KEXCEPTION_FRAME.rdi], rdi mov [rax+_KEXCEPTION_FRAME.rsi], rsi mov [rax+_KEXCEPTION_FRAME.r12], r12 mov [rax+_KEXCEPTION_FRAME.r13], r13 mov [rax+_KEXCEPTION_FRAME.r14], r14 mov [rax+_KEXCEPTION_FRAME.r15], r15 mov rax, gs:_KPCR.Prcb.CurrentThread bt dword ptr [rax+CurrentThread.SystemAffinityActive], 8 jnb short loc_14014CB7D test byte ptr [rbp+_KTRAP_FRAME.SegCs], 1 ; 通过CPL判断Previous mode,如果是内核模式则跳转 jz short loc_14014CB7D call KiUmsExceptionEntry ; ums线程相关 loc_14014CB7D: ; CODE XREF: KiExceptionDispatch+6D↑j ; KiExceptionDispatch+76↑j lea rax, [rsp+138h] ; rax指向_EXCEPTION_RECORD结构体 mov [rax+_EXCEPTION_RECORD.ExceptionCode], ecx xor ecx, ecx mov [rax+_EXCEPTION_RECORD.ExceptionFlags], ecx mov [rax+_EXCEPTION_RECORD.ExceptionRecord], rcx mov [rax+_EXCEPTION_RECORD.ExceptionAddress], r8 mov [rax+_EXCEPTION_RECORD.NumberParameters], edx mov [rax+_EXCEPTION_RECORD.ExceptionInformation[0]], r9 mov [rax+_EXCEPTION_RECORD.ExceptionInformation[1]], r10 mov [rax+_EXCEPTION_RECORD.ExceptionInformation[2]], r11 mov r9b, [rbp+_KTRAP_FRAME.SegCs] and r9b, 1 ; PreviousMode mov byte ptr [rsp+20h], 1 ; BOOLEAN FirstChance lea r8, [rbp-80h] ; PKTRAP_FRAME TrapFrame。Rbp指向的还是IDT函数中封装的TrapFrame结构体的腰部,RBP-80指向的就是TrapFrame结构体头部 mov rdx, rsp ; PKEXCEPTION_FRAME ExceptionFrame mov rcx, rax ; PEXCEPTION_RECORD ExceptionRecord call KiDispatchException 异常分发主函数
这个函数的逻辑很简单,函数入口首先就是提升栈顶,留出两个结构体的空间,分别是_KEXCEPTION_FRAME结构体和_EXCEPTION_RECORD结构体。构建完结构体后就调用了KiDispatchException函数用来进行异常分发。
0x4:KiDispatchException
KiDispatchException是异常分发的主函数,函数代码也比较复杂,汇编层次不清晰,所以直接放IDA伪代码了。
__fastcall KiDispatchException(_EXCEPTION_RECORD *ExceptionRecord, KEXCEPTION_FRAME *ExceptionFrame, KTRAP_FRAME *TrapFrame, char PreviousMode, char FirstChance) { char PreviousMode_1; // r15 KTRAP_FRAME *TrapFrame_1; // rsi KEXCEPTION_FRAME *ExceptionFrame_1; // r12 _EXCEPTION_RECORD *ExceptionRecord_1; // rbx signed int Contextflag; // er13 unsigned __int64 v10; // rcx signed __int64 v11; // rcx void *v12; // rsp void *v13; // rsp int v14; // edx unsigned __int64 result; // rax __int64 v16; // r8 bool DebugService; // al __int64 user.rsp; // r12 unsigned __int64 user.rsp_1; // rdx _BYTE *user_context; // r15 SIZE_T size; // rcx _QWORD *v22; // rdx _OWORD *v23; // rcx signed __int64 v24; // rcx __int64 v25; // rbx __int64 CurrentProcess_2; // r14 __int64 v27; // r8 ULONG_PTR PreviousMode_2; // [rsp+20h] [rbp-10h] __int64 SecondChance; // [rsp+28h] [rbp-8h] CONTEXT *Context; // [rsp+30h] [rbp+0h] __int64 CurrentProcess; // [rsp+38h] [rbp+8h] int Contextflag_1; // [rsp+40h] [rbp+10h] __int64 context.P4Home; // [rsp+48h] [rbp+18h] int v35; // [rsp+50h] [rbp+20h] unsigned int ContextLength; // [rsp+54h] [rbp+24h] __int64 ExceptionRecord_2; // [rsp+60h] [rbp+30h] __int64 context.SegCs; // [rsp+68h] [rbp+38h] __int64 ContextEx; // [rsp+70h] [rbp+40h] unsigned __int64 user.rsp_2; // [rsp+78h] [rbp+48h] __int64 TrapFrame_2; // [rsp+88h] [rbp+58h] _BYTE *user_context_1; // [rsp+90h] [rbp+60h] CONTEXT **v43; // [rsp+98h] [rbp+68h] __int64 CurrentProcess_1; // [rsp+A0h] [rbp+70h] MACHINE_FRAME *MachineFrame; // [rsp+A8h] [rbp+78h] __int64 ExceptionFrame_2; // [rsp+B0h] [rbp+80h] __int64 pDesBuffer; // [rsp+C0h] [rbp+90h] _OWORD *context.Rsp; // [rsp+C8h] [rbp+98h] int v49; // [rsp+E0h] [rbp+B0h] __int64 Context.rip; // [rsp+128h] [rbp+F8h] __int64 a3[2]; // [rsp+180h] [rbp+150h] __int64 v52; // [rsp+190h] [rbp+160h] PreviousMode_1 = PreviousMode; TrapFrame_1 = TrapFrame; ExceptionFrame_1 = ExceptionFrame; ExceptionRecord_1 = ExceptionRecord; ExceptionRecord_2 = (__int64)ExceptionRecord; ExceptionFrame_2 = (__int64)ExceptionFrame; TrapFrame_2 = (__int64)TrapFrame; LOBYTE(Context) = PreviousMode; CurrentProcess = *(_QWORD *)(__readgsqword(0x188u) + 0xB8);// CurrentThread.ApcState.Process CurrentProcess_1 = CurrentProcess; __incgsdword(0x5CB4u); // kpcr.kprcb.KeExceptionDispatchCount++ Contextflag = 0x10001F; Contextflag_1 = 0x10001F; if ( PreviousMode ) { if ( KeFeatureBits & 0x800000 ) Contextflag = 0x10005F; Contextflag_1 = Contextflag; } RtlGetExtendedContextLength(Contextflag); // 获取ExtendContext长度 v10 = ContextLength + 15i64; if ( v10 <= ContextLength ) v10 = 0xFFFFFFFFFFFFFF0i64; v11 = v10 & 0xFFFFFFFFFFFFFFF0ui64; v12 = alloca(v11); // 分配CONTEXT_EX内存 v13 = alloca(v11); v43 = &Context; v35 = RtlInitializeExtendedContext((__int64)&Context, Contextflag, (int **)&ContextEx); KeContextFromKframes(TrapFrame_1, ExceptionFrame_1, &Context);// 根据ExceptionFrame和TrapFrame结构体构造Context结构体 if ( ExceptionRecord_1->ExceptionCode == 0x80000003 ) --Context.rip; if ( PreviousMode_1 && *(_QWORD *)(CurrentProcess + 0x6F8) )// CurrentProcess.PicoContext 可能用于windows下的linux子系统 { LOBYTE(result) = PspPicoProviderRoutines_0(ExceptionRecord_1, ExceptionFrame_1, TrapFrame_1, 0i64, PreviousMode_1);// PspPicoProviderRoutines函数 if ( (_BYTE)result ) return result; // 如果异常解决了,就将Context转换成KFrames并返回 } else if ( (unsigned __int8)KiPreprocessFault(ExceptionRecord_1) )// 如果异常是内部通用保护错误、无效操作码或整数除以0,则尝试在不实际引发异常的情况下解决问题。 { LABEL_39: LOBYTE(result) = KeContextToKframes((__int64)TrapFrame_1); return result; } if ( !PreviousMode_1 ) // 判断PreviousMode,正式开始异常分发。 { if ( !FirstChance || (LOBYTE(SecondChance) = 0, LOBYTE(PreviousMode_2) = 0, !(unsigned __int8)KiDebugRoutine( // 第一次分发先交给调试器 TrapFrame_1, ExceptionFrame_1, ExceptionRecord_1, &Context, PreviousMode_2, SecondChance)) && !(unsigned __int8)RtlDispatchException(ExceptionRecord_1, &Context) )// 如果调试器不出来开始调用异常处理函数处理异常 { // 二次分发执行块 LOBYTE(SecondChance) = 1; LOBYTE(PreviousMode_2) = 0; if ( !(unsigned __int8)KiDebugRoutine( TrapFrame_1, ExceptionFrame_1, ExceptionRecord_1, &Context, PreviousMode_2, SecondChance) ) KeBugCheckEx( // 二次分发还没被调试器处理则蓝屏 0x1Eu, ExceptionRecord_1->ExceptionCode, (ULONG_PTR)ExceptionRecord_1->ExceptionAddress, ExceptionRecord_1->ExceptionInformation[0], ExceptionRecord_1->ExceptionInformation[1]); } goto LABEL_39; } v14 = (signed int)context.Rsp; context.P4Home = (__int64)context.Rsp; context.SegCs = (__int64)context.Rsp; // 这里IDA有错误,动态调试是存储在其他变量中的 if ( !(*(_DWORD *)(CurrentProcess + 0x6B4) & 1) )// CurrentProcess.Flags3.Minimal { result = __readgsqword(0x188u); if ( *(_QWORD *)(*(_QWORD *)(result + 0xB8) + 0x428i64)// CurrentThread.Apcstate.Process.WoW64Process && ExceptionRecord_1->ExceptionCode == 0x80000002 && TrapFrame_1->EFlags & 0x40000 ) { _disable(); TrapFrame_1->EFlags &= 0xFFFBFFFF; _enable(); return result; } if ( (context.SegCs & 0xFFF8) == 0x20 ) // 如果在执行32位代码时发生异常,则将异常转换为wow64异常 { if ( ExceptionRecord_1->ExceptionCode == 0x80000003 ) { ExceptionRecord_1->ExceptionCode = 0x4000001F; } else if ( ExceptionRecord_1->ExceptionCode == 0x80000004 ) { ExceptionRecord_1->ExceptionCode = 0x4000001E; } context.P4Home = v14 & 0xFFFFFFF0; context.SegCs = v14 & 0xFFFFFFF0; } } memset( (char *)ExceptionRecord_1 + 8 * (ExceptionRecord_1->NumberParameters + 4i64), 0, -8 * (ExceptionRecord_1->NumberParameters + 4i64) + 0x98);// 将exceptionrecord参数后面的内存清零,为了KdIsThisAKdTrap做准备 if ( FirstChance ) // 用户态第一次分发 { DebugService = KdIsThisAKdTrap(ExceptionRecord_1); if ( !*(_QWORD *)(*(_QWORD *)(__readgsqword(0x188u) + 0xB8) + 0x420i64) && !KdIgnoreUmExceptions || DebugService )// 如果当前进程没有被调试,并且没有设置忽略用户态异常,或者这是一个调试服务则执行下面代码 { LOBYTE(SecondChance) = 0; LOBYTE(PreviousMode_2) = PreviousMode_1; if ( (unsigned __int8)KiDebugRoutine( // 如果异常被调试器处理则返回 TrapFrame_1, ExceptionFrame_1, ExceptionRecord_1, &Context, PreviousMode_2, SecondChance) ) goto LABEL_39; } LOBYTE(result) = DbgkForwardException(ExceptionRecord_1, 1, 0i64); if ( !(_BYTE)result ) // 如果异常没被处理 { if ( !*(_QWORD *)(CurrentProcess + 0x6F8) // CurrentProcess.PicoContext || (LOBYTE(PreviousMode_2) = PreviousMode_1, LOBYTE(result) = PspPicoProviderRoutines_0(// PspPicoProviderRoutines ExceptionRecord_1, ExceptionFrame_1, TrapFrame_1, 1i64, PreviousMode_2), // CurrentProcess.PicoContext如果为零或者PspPicoProviderRoutines返回True执行 !(_BYTE)result) ) { _disable(); TrapFrame_1->EFlags &= 0xFFFFFEFF; // 清空TF标志位,调试标志位 _enable(); v49 = 0xC0000005; user.rsp = context.P4Home; user.rsp_1 = context.P4Home; user.rsp_2 = context.P4Home; if ( (Contextflag & 0x100040) == 0x100040 ) { user.rsp_1 = (context.P4Home - *(unsigned int *)(ContextEx + 0x14)) & 0xFFFFFFFFFFFFFFC0ui64; user.rsp_2 = (context.P4Home - *(unsigned int *)(ContextEx + 0x14)) & 0xFFFFFFFFFFFFFFC0ui64; } CurrentProcess = (user.rsp_1 - 0x28) & 0xFFFFFFFFFFFFFFF0ui64; MachineFrame = (MACHINE_FRAME *)((user.rsp_1 - 0x28) & 0xFFFFFFFFFFFFFFF0ui64);// 这里是开辟用户栈空间 -0x28是_MACHINE_FRAME大小 context.P4Home = CurrentProcess - 0xA0; // MachineFrame - EXCEPTION_RECORD_LENGTH;EXCEPTION_RECORD_LENGTH=sizeof(EXCEPTION_RECORD) + STACK_ROUND) & ~STACK_ROUND context.Rsp = (_OWORD *)(CurrentProcess - 0xA0); pDesBuffer = CurrentProcess - 0xC0; user_context = (_BYTE *)(CurrentProcess - 0x590);// context user_context_1 = (_BYTE *)(CurrentProcess - 0x590); LODWORD(a3[0]) = 0xFFFFFB30; size = user.rsp - (CurrentProcess - 0x590);// 计算出一共栈顶提升了多少字节 HIDWORD(a3[0]) = user.rsp - (CurrentProcess - 0x590); a3[1] = 0x4D0FFFFFB30i64; LODWORD(v52) = user.rsp_1 - (CurrentProcess - 0xC0); HIDWORD(v52) = user.rsp - user.rsp_1; if ( (unsigned __int64)(user.rsp - (CurrentProcess - 0x590) - 1) > 0xFFE ) { ProbeForWrite(user_context, size, 0x10u);// 检测内存地址是否正常,可写,并且不越界 v23 = (_OWORD *)context.P4Home; v22 = (_QWORD *)CurrentProcess; } else { if ( ((_BYTE)CurrentProcess + 0x70) & 0xF ) ExRaiseDatatypeMisalignment(); if ( user_context >= MmUserProbeAddress ) user_context = MmUserProbeAddress; *user_context = *user_context; user_context[size - 1] = user_context[size - 1]; v22 = &MachineFrame->Rip; v23 = context.Rsp; user_context = user_context_1; } v22[3] = user.rsp; *v22 = Context.rip; *v23 = *(_OWORD *)&ExceptionRecord_1->ExceptionCode; v23[1] = *(_OWORD *)&ExceptionRecord_1->ExceptionAddress; v23[2] = *(_OWORD *)ExceptionRecord_1->ExceptionInformation; v23[3] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[2]; v23[4] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[4]; v23[5] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[6]; v23[6] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[8]; v24 = (signed __int64)(v23 + 8); *(_OWORD *)(v24 - 16) = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[10]; *(_OWORD *)v24 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[12]; *(_QWORD *)(v24 + 16) = ExceptionRecord_1->ExceptionInformation[14]; v25 = pDesBuffer; v35 = RtlpCopyExtendedContext(1, pDesBuffer, (__int64)a3, Contextflag, ContextEx, 0i64); *(_OWORD *)v25 = *(_OWORD *)a3; *(_QWORD *)(v25 + 16) = v52; _disable(); TrapFrame_1->Rsp = (ULONG64)user_context;// TrapFrame中的RSP设置为新的栈顶 TrapFrame_1->SegCs = 0x33; // 新的CS寄存器 TrapFrame_1->Rip = KeUserExceptionDispatcher;// 返回三环的落脚点,KeUserExceptionDispatcher调用三环的异常处理函数 LOBYTE(result) = KiSetupForInstrumentationReturn((__int64)TrapFrame_1); _enable(); } } } else // 用户态第二次分发 { CurrentProcess_2 = CurrentProcess; LOBYTE(v16) = 1; // SecondChance LOBYTE(result) = DbgkForwardException(ExceptionRecord_1, 1, v16);// 将SecondChance设置为True再次发送给调试器 if ( !(_BYTE)result ) // 如果还是没被处理,判断进程是不是一个Pico进程,如果是的话调用PspPicoProviderRoutines函数 { if ( !*(_QWORD *)(CurrentProcess_2 + 0x6F8)// CurrentProcess.PicoContext || (LOBYTE(PreviousMode_2) = PreviousMode_1, LOBYTE(result) = PspPicoProviderRoutines_0( ExceptionRecord_1, ExceptionFrame_1, TrapFrame_1, 2i64, PreviousMode_2), !(_BYTE)result) ) { LOBYTE(v27) = 1; LOBYTE(result) = DbgkForwardException(ExceptionRecord_1, 0, v27);// 发送给异常端口 if ( !(_BYTE)result ) LOBYTE(result) = ZwTerminateProcess(-1i64, (unsigned int)ExceptionRecord_1->ExceptionCode); } } } return result; }
前面说过,当异常处理完成时,系统要根据TrapFrame结构返回三环,所以该函数首先要备份一下TrapFrame和ExceptionFrame结构体到Context结构体。
if ( PreviousMode ) { if ( KeFeatureBits & 0x800000 ) Contextflag = 0x10005F; Contextflag_1 = Contextflag; } RtlGetExtendedContextLength(Contextflag); // 获取ExtendContext长度 v10 = ContextLength + 15i64; if ( v10 <= ContextLength ) v10 = 0xFFFFFFFFFFFFFF0i64; v11 = v10 & 0xFFFFFFFFFFFFFFF0ui64; v12 = alloca(v11); // 分配CONTEXT_EX内存 v13 = alloca(v11); v43 = &Context; v35 = RtlInitializeExtendedContext((__int64)&Context, Contextflag, (int **)&ContextEx); KeContextFromKframes(TrapFrame_1, ExceptionFrame_1, &Context);// 根据ExceptionFrame和TrapFrame结构体构造Context结构体
如果是int3异常呢,操作系统默认int3指令为cc,占1字节,所以将RIP减一指向触发异常的指令地址。但是其实INT3并不是只有1字节,也有2字节的。
if ( ExceptionRecord_1->ExceptionCode == 0x80000003 ) --Context.rip;
然后判断一下该进程是不是Pico进程,经过查阅资料得知,Pico应该是windows下的linux子系统的进程。PspPicoProviderRoutines可能是负责解决pico进程异常的函数,这是一个函数指针,在windbg中看当前指针为空,可能是由于调试系统并没有安装linux子系统组件的缘故。
如果不是pico进程,则尝试调用KiPreprocessFault处理异常,如果异常是内部通用保护错误,无效操作码或者除零错误,则尝试在不实际引发异常的情况下解决问题。
if ( PreviousMode_1 && *(_QWORD *)(CurrentProcess + 0x6F8) )// CurrentProcess.PicoContext 可能用于windows下的linux子系统 { LOBYTE(result) = PspPicoProviderRoutines_0(ExceptionRecord_1, ExceptionFrame_1, TrapFrame_1, 0i64, PreviousMode_1);// PspPicoProviderRoutines函数 if ( (_BYTE)result ) return result; // 如果异常解决了,就将Context转换成KFrames并返回 } else if ( (unsigned __int8)KiPreprocessFault(ExceptionRecord_1) )// 如果异常是内部通用保护错误、无效操作码或整数除以0,则尝试在不实际引发异常的情况下解决问题。 { LABEL_39: LOBYTE(result) = KeContextToKframes((__int64)TrapFrame_1); return result; }
之后就开始进行正式的异常分发,如果先前模式为内核模式,则调用KiDebugRoutine尝试将异常发给调试器。KiDebugRoutine这是内核的全局变量函数指针,当系统在被调试的状态下指向KdpTrap函数,非调试下指向KdpStub函数。KdpStub函数非常简单,只是做了一些简单的处理就返回了False。KdpTrap函数会将异常发送给内核调试器,如果返回True,代表调试器处理了这个异常,如果返回False,则代表没有处理这个异常。
在第一次分发的时候,首先把异常发给调试器,如果调试器处理了异常则直接返回。如果调试器没有处理异常,则调用RtlDispatchException执行内核异常处理函数。RtlDispatchException的返回值和KiDebugRoutine一样,如果返回True代表异常处理函数处理了异常,如果返回False则代表异常没被处理。
如果异常没被处理,操作系统会将SecondChance设置为True,并且再一次调用KiDebugRoutine,一般调试器在收到SecondChance为True的异常时都会中断,哪怕这个异常不是用户设置的异常。
因为当第二次分发KiDebugRoutine依旧返回False的时候,系统会直接调用KeBugCheckEx引发BSOD!也就是蓝屏~
if ( !PreviousMode_1 ) // 判断PreviousMode,正式开始异常分发。 { if ( !FirstChance || (LOBYTE(SecondChance) = 0, LOBYTE(PreviousMode_2) = 0, !(unsigned __int8)KiDebugRoutine( // 第一次分发先交给调试器 TrapFrame_1, ExceptionFrame_1, ExceptionRecord_1, &Context, PreviousMode_2, SecondChance)) && !(unsigned __int8)RtlDispatchException(ExceptionRecord_1, &Context) )// 如果调试器不出来开始调用异常处理函数处理异常 { // 二次分发执行块 LOBYTE(SecondChance) = 1; LOBYTE(PreviousMode_2) = 0; if ( !(unsigned __int8)KiDebugRoutine( TrapFrame_1, ExceptionFrame_1, ExceptionRecord_1, &Context, PreviousMode_2, SecondChance) ) KeBugCheckEx( // 二次分发还没被调试器处理则蓝屏 0x1Eu, ExceptionRecord_1->ExceptionCode, (ULONG_PTR)ExceptionRecord_1->ExceptionAddress, ExceptionRecord_1->ExceptionInformation[0], ExceptionRecord_1->ExceptionInformation[1]); } goto LABEL_39; }
当先前模式不是内核模式的时候,就要开始进行应用层的异常分发
首先判断了一下CurrentProcess.Flags3.Minimal,这个标志为零才会运行代码块里的内容,不知道这个标志代表什么。
然后判断如果进程是Wow64进程,也就是x32进程的话,并且异常代码是0x80000002,并且Eflag寄存器AC被置位,则这个异常可能是一个对齐异常,将Eflag的AC位清空然后返回。
然后判断通过CS判断如果是一个x32异常,则将异常转换为Wow64的异常代码。
if ( !(*(_DWORD *)(CurrentProcess + 0x6B4) & 1) )// CurrentProcess.Flags3.Minimal { result = __readgsqword(0x188u); if ( *(_QWORD *)(*(_QWORD *)(result + 0xB8) + 0x428i64)// CurrentThread.Apcstate.Process.WoW64Process && ExceptionRecord_1->ExceptionCode == 0x80000002 && TrapFrame_1->EFlags & 0x40000 ) { _disable(); TrapFrame_1->EFlags &= 0xFFFBFFFF; _enable(); return result; } if ( (context.SegCs & 0xFFF8) == 0x20 ) // 如果在执行32位代码时发生异常,则将异常转换为wow64异常 { if ( ExceptionRecord_1->ExceptionCode == 0x80000003 ) { ExceptionRecord_1->ExceptionCode = 0x4000001F; } else if ( ExceptionRecord_1->ExceptionCode == 0x80000004 ) { ExceptionRecord_1->ExceptionCode = 0x4000001E; } context.P4Home = v14 & 0xFFFFFFF0; context.SegCs = v14 & 0xFFFFFFF0; } }
然后将ExceptionRecord没有数据的内存清零,为了后面调用KdIsThisAKdTrap做准备。
调用KdIsThisAKdTrap判断这个异常是不是一个调试服务,当需要打印调试,征求用户输入,报告模块加载卸载时,系统会触发一个异常,编号为0x2D。通常把这个异常称之为调试服务(DebugService)异常。观察IDT表,可以看到这个异常的处理函数是KiDebugService,这个函数做了一些预处理工作后就跳转到了Int3中断处理函数,我们知道int3是断点异常的处理函数,因此,从KiDebugService跳转到int3后,要传递的调试信息会被当作断点异常的参数传给异常分发函数。ExceptionRecord结构中的ExceptionInfomation[0]标识了这个异常是一个真正的断点异常,还是一个调试服务异常,它可以是以下几个值之一:
BREAKPOINT_BREAK(0):真正的断点异常。
BREAKPOINT_PRINT(1):打印调试信息,ExceptionInformation[1]为要打印的字符串。
BREAKPOINT_PROMPT(2):提示并要求用户输入,ExceptionInformation[1]指向提示字符串,ExceptionInformation[2]用来指向存放用户输入的缓冲区。
BREAKPOINT_LOAD_SYMBOLS(3):加载符号文件,ExceptionInformation[1]指向模块文件名称,ExceptionInformation[2]是模块的基地址。
BREAKPOINT_UNLOAD_SYMBOLS(4):卸载符号文件:ExceptionInformation[1]指向模块文件名称,ExceptionInformation[2]是模块的基地址。
如果当前进程没有被调试,并且系统没有设置忽略用户态异常,或者这是一个调试服务则把异常发送给内核调试器,如果异常被内核调试器处理则直接返回。
memset( (char *)ExceptionRecord_1 + 8 * (ExceptionRecord_1->NumberParameters + 4i64), 0, -8 * (ExceptionRecord_1->NumberParameters + 4i64) + 0x98);// 将exceptionrecord参数后面的内存清零,为了KdIsThisAKdTrap做准备 if ( FirstChance ) // 用户态第一次分发 { DebugService = KdIsThisAKdTrap(ExceptionRecord_1); if ( !*(_QWORD *)(*(_QWORD *)(__readgsqword(0x188) + 0xB8) + 0x420) && !KdIgnoreUmExceptions || DebugService )// 如果当前进程没有被调试,并且没有设置忽略用户态异常,或者这是一个调试服务则执行下面代码 { LOBYTE(SecondChance) = 0; LOBYTE(PreviousMode_2) = PreviousMode_1; if ( (unsigned __int8)KiDebugRoutine( // 如果异常被调试器处理则返回 TrapFrame_1, ExceptionFrame_1, ExceptionRecord_1, &Context, PreviousMode_2, SecondChance) ) goto LABEL_39; }
如果没被内核调试器处理则开始调用DbgkForwardException尝试将异常发送给三环调试器,如果调试器返回False则代表异常没有被处理。
当调试器没有处理异常的时候,还是判断当前进程是不是pico进程,如果是调用PspPicoProviderRoutines处理异常,或者DbgkForwardException返回False的之后向下执行。
if代码块中代码主要任务就是将异常信息拷贝到三环栈中,然后返回三环去执行异常处理函数。
首先要清空TrapFrame_1中Eflag寄存器的调试标志位,避免回到三环的时候循环出发异常
由于Context多了一个扩展结构,这个结构的定义不太清楚,所以不能分析的太详细,能力有限。
数据拷贝完成后设置三环的落脚点为KeUserExceptionDispatcher,也就是三环的异常分发函数。
值得一提的是KiSetupForInstrumentationReturn函数将_kprocess结构体中的InstrumentationCallback设置成了RIP的地址,然后将原本的RIP保存在了R10寄存器中,百度查询说这个字段指向一个回调函数,每次从内核层返回用户层的时候会调用。
LOBYTE(result) = DbgkForwardException(ExceptionRecord_1, 1, 0); if ( !(_BYTE)result ) // 如果异常没被处理 { if ( !*(_QWORD *)(CurrentProcess + 0x6F8) // CurrentProcess.PicoContext || (LOBYTE(PreviousMode_2) = PreviousMode_1, LOBYTE(result) = PspPicoProviderRoutines_0(// PspPicoProviderRoutines ExceptionRecord_1, ExceptionFrame_1, TrapFrame_1, 1i64, PreviousMode_2), // CurrentProcess.PicoContext如果为零或者PspPicoProviderRoutines返回True执行 !(_BYTE)result) ) { _disable(); TrapFrame_1->EFlags &= 0xFFFFFEFF; // 清空TF标志位,调试标志位 _enable(); v49 = 0xC0000005; user.rsp = context.P4Home; user.rsp_1 = context.P4Home; user.rsp_2 = context.P4Home; if ( (Contextflag & 0x100040) == 0x100040 ) { user.rsp_1 = (context.P4Home - *(unsigned int *)(ContextEx + 0x14)) & 0xFFFFFFFFFFFFFFC0ui64; user.rsp_2 = (context.P4Home - *(unsigned int *)(ContextEx + 0x14)) & 0xFFFFFFFFFFFFFFC0ui64; } CurrentProcess = (user.rsp_1 - 0x28) & 0xFFFFFFFFFFFFFFF0ui64; MachineFrame = (MACHINE_FRAME *)((user.rsp_1 - 0x28) & 0xFFFFFFFFFFFFFFF0ui64);// 这里是开辟用户栈空间 -0x28是_MACHINE_FRAME大小 context.P4Home = CurrentProcess - 0xA0; // MachineFrame - EXCEPTION_RECORD_LENGTH;EXCEPTION_RECORD_LENGTH=sizeof(EXCEPTION_RECORD) + STACK_ROUND) & ~STACK_ROUND context.Rsp = (_OWORD *)(CurrentProcess - 0xA0); pDesBuffer = CurrentProcess - 0xC0; user_context = (_BYTE *)(CurrentProcess - 0x590);// context user_context_1 = (_BYTE *)(CurrentProcess - 0x590); LODWORD(a3[0]) = 0xFFFFFB30; size = user.rsp - (CurrentProcess - 0x590);// 计算出一共栈顶提升了多少字节 HIDWORD(a3[0]) = user.rsp - (CurrentProcess - 0x590); a3[1] = 0x4D0FFFFFB30i64; LODWORD(v52) = user.rsp_1 - (CurrentProcess - 0xC0); HIDWORD(v52) = user.rsp - user.rsp_1; if ( (unsigned __int64)(user.rsp - (CurrentProcess - 0x590) - 1) > 0xFFE ) { ProbeForWrite(user_context, size, 0x10u);// 检测内存地址是否正常,可写,并且不越界 v23 = (_OWORD *)context.P4Home; v22 = (_QWORD *)CurrentProcess; } else { if ( ((_BYTE)CurrentProcess + 0x70) & 0xF ) ExRaiseDatatypeMisalignment(); if ( user_context >= MmUserProbeAddress ) user_context = MmUserProbeAddress; *user_context = *user_context; user_context[size - 1] = user_context[size - 1]; v22 = &MachineFrame->Rip; v23 = context.Rsp; user_context = user_context_1; } v22[3] = user.rsp; *v22 = Context.rip; *v23 = *(_OWORD *)&ExceptionRecord_1->ExceptionCode; v23[1] = *(_OWORD *)&ExceptionRecord_1->ExceptionAddress; v23[2] = *(_OWORD *)ExceptionRecord_1->ExceptionInformation; v23[3] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[2]; v23[4] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[4]; v23[5] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[6]; v23[6] = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[8]; v24 = (signed __int64)(v23 + 8); *(_OWORD *)(v24 - 16) = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[10]; *(_OWORD *)v24 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[12]; *(_QWORD *)(v24 + 16) = ExceptionRecord_1->ExceptionInformation[14]; v25 = pDesBuffer; v35 = RtlpCopyExtendedContext(1, pDesBuffer, (__int64)a3, Contextflag, ContextEx, 0i64); *(_OWORD *)v25 = *(_OWORD *)a3; *(_QWORD *)(v25 + 16) = v52; _disable(); TrapFrame_1->Rsp = (ULONG64)user_context;// TrapFrame中的RSP设置为新的栈顶 TrapFrame_1->SegCs = 0x33; // 新的CS寄存器 TrapFrame_1->Rip = KeUserExceptionDispatcher;// 返回三环的落脚点,KeUserExceptionDispatcher调用三环的异常处理函数 LOBYTE(result) = KiSetupForInstrumentationReturn((__int64)TrapFrame_1); _enable(); }
用户层的第一次异常分发到这里就结束了。
下面就是用户层的第二次异常分发。
第二次用户层异常分发先是将SecondChance设置为True,然后调用DbgkForwardException尝试将异常发送给调试器,跟内核调试器一样,应用层调试器一般也都会处理SecondChance为True的异常。
如果DbgkForwardException还是返回False,那么系统会再次调用DbgkForwardException将这个异常发送给异常端口。
如果还是返回False的话,直接调用ZwTerminateProcess结束进程!
else // 用户态第二次分发 { CurrentProcess_2 = CurrentProcess; LOBYTE(v16) = 1; // SecondChance LOBYTE(result) = DbgkForwardException(ExceptionRecord_1, 1, v16);// 将SecondChance设置为True再次发送给调试器 if ( !(_BYTE)result ) // 如果还是没被处理,判断进程是不是一个Pico进程,如果是的话调用PspPicoProviderRoutines函数 { if ( !*(_QWORD *)(CurrentProcess_2 + 0x6F8)// CurrentProcess.PicoContext || (LOBYTE(PreviousMode_2) = PreviousMode_1, LOBYTE(result) = PspPicoProviderRoutines_0( ExceptionRecord_1, ExceptionFrame_1, TrapFrame_1, 2i64, PreviousMode_2), !(_BYTE)result) ) { LOBYTE(v27) = 1; LOBYTE(result) = DbgkForwardException(ExceptionRecord_1, 0, v27);// 发送给异常端口 if ( !(_BYTE)result ) LOBYTE(result) = ZwTerminateProcess(-1i64, (unsigned int)ExceptionRecord_1->ExceptionCode); } } } return result; }
0x5:DbgkForwardException
在经历KiDispatchException的异常分发后,用户态异常终于来到了DbgkForwardException函数,这个函数主要的任务是将异常结构转换为DBGKM_MSG结构,然后根据不同的参数选择发送给异常端口还是调试端口,废话不多说,直接上代码:
bool __fastcall DbgkForwardException(EXCEPTION_RECORD *ExceptionRecord, char DebugPort, __int64 SecondChance) { char SecondChance_1; // r15 char DebugPort_1; // di EXCEPTION_RECORD *ExceptionRecord_1; // r12 char UseLpc; // r14 unsigned __int64 CurrentThrad; // rax ULONG_PTR CurrentProcess; // rsi void *DebugObject; // rbx __int128 v11; // xmm1 ULONG_PTR v12; // rax __int128 v13; // xmm0 __int128 v14; // xmm1 __int128 v15; // xmm0 __int128 v16; // xmm1 __int128 v17; // xmm0 __int128 v18; // xmm1 int result; // esi signed int ReturnedStatus; // eax __int64 v21; // [rsp+20h] [rbp-E0h] DBGKM_MSG ApiMessage; // [rsp+30h] [rbp-D0h] SecondChance_1 = SecondChance; DebugPort_1 = DebugPort; ExceptionRecord_1 = ExceptionRecord; UseLpc = 1; if ( (_BYTE)SecondChance ) { v21 = 1i64; PsSetProcessFaultInformation(*(_QWORD *)(__readgsqword(0x188u) + 0xB8), &v21);// 如果是第二次分发,调用PsSetProcessFaultInformation设置进程故障信息 } ApiMessage.ApiNumber = 0; ApiMessage.h.u1.Length = 0xD000A8; ApiMessage.h.u2.ZeroInit = 8; CurrentThrad = __readgsqword(0x188u); CurrentProcess = *(_QWORD *)(CurrentThrad + 0xB8); if ( DebugPort_1 ) // 是否发送给调试端口 { if ( *(_DWORD *)(__readgsqword(0x188u) + 0x6BC) & 4 )// 判断是否设置了CrossThreadFlags.HideFromDebugger,如果设置了HideFromDebugger标志位,则将调试对象清零 DebugObject = 0i64; else DebugObject = *(void **)(CurrentProcess + 0x420);// 如果没有设置HideFromDebugger位则获取调试对象 UseLpc = 0; } else { DebugObject = (void *)PsCaptureExceptionPort(*(_QWORD *)(CurrentThrad + 0xB8));// 获取异常端口对象 ApiMessage.h.u2.ZeroInit = 7; } if ( !DebugObject && DebugPort_1 ) // 如果DebugObject为空则返回False return 0; v11 = *(_OWORD *)&ExceptionRecord_1->ExceptionAddress;// 开始构建ApiMessage结构 *(_OWORD *)&ApiMessage.u.Exception.ExceptionRecord.ExceptionCode = *(_OWORD *)&ExceptionRecord_1->ExceptionCode; v12 = ExceptionRecord_1->ExceptionInformation[14]; v13 = *(_OWORD *)ExceptionRecord_1->ExceptionInformation; *((_OWORD *)&ApiMessage.u.UnloadDll + 1) = v11; v14 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[2]; *((_OWORD *)&ApiMessage.u.UnloadDll + 2) = v13; v15 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[4]; *((_OWORD *)&ApiMessage.u.UnloadDll + 3) = v14; v16 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[6]; *((_OWORD *)&ApiMessage.u.UnloadDll + 4) = v15; v17 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[8]; *((_OWORD *)&ApiMessage.u.UnloadDll + 5) = v16; v18 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[12]; *((_OWORD *)&ApiMessage.u.UnloadDll + 6) = v17; *((_OWORD *)&ApiMessage.u.UnloadDll + 7) = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[10]; *((_OWORD *)&ApiMessage.u.UnloadDll + 8) = v18; ApiMessage.u.Exception.ExceptionRecord.ExceptionInformation[14] = v12; ApiMessage.u.Exception.FirstChance = SecondChance_1 == 0; if ( !UseLpc ) { result = DbgkpSendApiMessage(CurrentProcess, DebugPort_1 != 0, (__int64)&ApiMessage);// 调用DbgkpSendApiMessage发送刚才构建的结构体,如果是发送给调试端口,则挂起进程 goto LABEL_15; } if ( DebugObject ) { // 如果执行到这里,代表是发送给异常端口的 LOBYTE(SecondChance) = DebugPort_1; result = DbgkpSendApiMessageLpc(&ApiMessage, DebugObject, SecondChance); ObfDereferenceObject(DebugObject); LABEL_15: ReturnedStatus = ApiMessage.ReturnedStatus; // 获取ApiMessage中的ReturnStatus,判断异常是否处理。 goto LABEL_16; } ReturnedStatus = 0x80010001; result = 0; ApiMessage.ReturnedStatus = 0x80010001; LABEL_16: if ( result < 0 ) // 返回值是NTSTATUS类型,如果小于0则代表失败,直接返回0代表异常未处理。 return 0; if ( ReturnedStatus == 0x80010001 ) // 如果返回值不小于零,代表函数没有出错,这种情况下通过ApiMessage的ReturnStatus判断异常是否被处理,如果等于0x80010001代表异常没被处理。 { if ( !DebugPort_1 ) // 如果Debugport为0,代表这是要发送给异常端口的异常,对于这种异常,调用DbgkpSendErrorMessage发送错误消息。 { ReturnedStatus = DbgkpSendErrorMessage(ExceptionRecord_1, 2i64, &ApiMessage); return ReturnedStatus >= 0; } return 0; } return ReturnedStatus >= 0; // 如果DbgkpSendApiMessage返回值正常,并且ApiMessage.ReturnStatus的值也不等于0x80010001,这代表异常被成功处理,直接返回True. }
函数首先显示判断了是否是第二次分发,如果是第二次分发则设置进程故障信息,毕竟如果这次异常还是没被处理的话进程就直接被干掉了~
if ( (_BYTE)SecondChance ) { v21 = 1i64; PsSetProcessFaultInformation(*(_QWORD *)(__readgsqword(0x188u) + 0xB8), &v21);// 如果是第二次分发,调用PsSetProcessFaultInformation设置进程故障信息 }
接下来就开始简单的初始化DBGKM_MSG结构了,然后根据是是发送给异常端口还是调试端口,开始获取对应的对象。
如果是要发送给调试端口,则首先要检测一下CurrentThread.CrossThreadFlags.HideFromDebugger标志位是否被置位,如果这个标志被置位则直接将存储调试对象的变量置为零。这个标志位可以让这个线程的异常不走调试器,走正常的异常分发,这也是一个反调试的手段。
这个标志位可以调用ZwSetInformationThread函数来设置,这个函数是windows未公开的一个函数,在NTDLL模块导出,可以使用GetProcAddress来获取,这里不详细说明,有兴趣的可以去查资料。
如果HideFromDebugger没被置零,则通过进程结构体获取调试对象(CurrentProcess.DebugPort).
如果不是发送给调试端口的,则调用PsCaptureExceptionPort获取异常端口对象。
ApiMessage.ApiNumber = 0; ApiMessage.h.u1.Length = 0xD000A8; ApiMessage.h.u2.ZeroInit = 8; CurrentThrad = __readgsqword(0x188u); CurrentProcess = *(_QWORD *)(CurrentThrad + 0xB8); if ( DebugPort_1 ) // 是否发送给调试端口 { if ( *(_DWORD *)(__readgsqword(0x188u) + 0x6BC) & 4 )// 判断是否设置了CrossThreadFlags.HideFromDebugger,如果设置了HideFromDebugger标志位,则将调试对象清零 DebugObject = 0i64; else DebugObject = *(void **)(CurrentProcess + 0x420);// 如果没有设置HideFromDebugger位则获取调试对象 UseLpc = 0; } else { DebugObject = (void *)PsCaptureExceptionPort(*(_QWORD *)(CurrentThrad + 0xB8));// 获取异常端口对象 ApiMessage.h.u2.ZeroInit = 7; }</span> 然后开始判断调试对象是否获取成功,如果调试对象为零,并且参数是要发送给调试对象,则直接返回False. 然后开始根据ExceptionRecord开始构建DBGKM_MSG结构体。 <span style="font-family:Courier New,Courier,monospace">if ( !DebugObject && DebugPort_1 ) // 如果DebugObject为空则返回False return 0; v11 = *(_OWORD *)&ExceptionRecord_1->ExceptionAddress;// 开始构建ApiMessage结构 *(_OWORD *)&ApiMessage.u.Exception.ExceptionRecord.ExceptionCode = *(_OWORD *)&ExceptionRecord_1->ExceptionCode; v12 = ExceptionRecord_1->ExceptionInformation[14]; v13 = *(_OWORD *)ExceptionRecord_1->ExceptionInformation; *((_OWORD *)&ApiMessage.u.UnloadDll + 1) = v11; v14 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[2]; *((_OWORD *)&ApiMessage.u.UnloadDll + 2) = v13; v15 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[4]; *((_OWORD *)&ApiMessage.u.UnloadDll + 3) = v14; v16 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[6]; *((_OWORD *)&ApiMessage.u.UnloadDll + 4) = v15; v17 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[8]; *((_OWORD *)&ApiMessage.u.UnloadDll + 5) = v16; v18 = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[12]; *((_OWORD *)&ApiMessage.u.UnloadDll + 6) = v17; *((_OWORD *)&ApiMessage.u.UnloadDll + 7) = *(_OWORD *)&ExceptionRecord_1->ExceptionInformation[10]; *((_OWORD *)&ApiMessage.u.UnloadDll + 8) = v18; ApiMessage.u.Exception.ExceptionRecord.ExceptionInformation[14] = v12; ApiMessage.u.Exception.FirstChance = SecondChance_1 == 0;
然后就开始调用函数发送刚才构建的结构体了。
这里判断是否使用LPC,这个UseLPC变量是一个内部变量,初始化赋值为True,在获取调试对象时候赋值为False。
如果不使用LPC则调用DbgkpSendApiMessage函数发送结构体,函数中参数并没有调试对象,需要在函数内部获取。函数的第二个参数代表是否挂起进程。
如果不是发送给调试端口则判断DebugObject是否为零,这个变量中存储的不一定是调试对象,如果是发送给异常端口的话这个变量中存储的就是异常端口对象。
函数返回后首先判断函数返回值是否正常,如果函数返回值不正常则直接返回False.如果函数返回值正常,则判断ApiMessage.ReturnedStatus是否等于0x80010001,这个成员代表异常是否被调试器处理,如果等于0x80010001代表调试器未处理。
如果调试器 未处理异常,判断是否是发送给异常端口的,如果发送给异常端口则调用DbgkpSendErrorMessage发送错误消息,如果DbgkpSendErrorMessage返回值大于等于0,则返回True,否则返回False.
if ( !UseLpc ) { result = DbgkpSendApiMessage(CurrentProcess, DebugPort_1 != 0, (__int64)&ApiMessage);// 调用DbgkpSendApiMessage发送刚才构建的结构体,如果是发送给调试端口,则挂起进程 goto LABEL_15; } if ( DebugObject ) { // 如果执行到这里,代表是发送给异常端口的 LOBYTE(SecondChance) = DebugPort_1; result = DbgkpSendApiMessageLpc(&ApiMessage, DebugObject, SecondChance); ObfDereferenceObject(DebugObject); LABEL_15: ReturnedStatus = ApiMessage.ReturnedStatus; // 获取ApiMessage中的ReturnStatus,判断异常是否处理。 goto LABEL_16; } ReturnedStatus = 0x80010001; result = 0; ApiMessage.ReturnedStatus = 0x80010001; LABEL_16: if ( result < 0 ) // 返回值是NTSTATUS类型,如果小于0则代表失败,直接返回0代表异常未处理。 return 0; if ( ReturnedStatus == 0x80010001 ) // 如果返回值不小于零,代表函数没有出错,这种情况下通过ApiMessage的ReturnStatus判断异常是否被处理,如果等于0x80010001代表异常没被处理。 { if ( !DebugPort_1 ) // 如果Debugport为0,代表这是要发送给异常端口的异常,对于这种异常,调用DbgkpSendErrorMessage发送错误消息。 { ReturnedStatus = DbgkpSendErrorMessage(ExceptionRecord_1, 2i64, &ApiMessage); return ReturnedStatus >= 0; } return 0; } return ReturnedStatus >= 0; // 如果DbgkpSendApiMessage返回值正常,并且ApiMessage.ReturnStatus的值也不等于0x80010001,这代表异常被成功处理,直接返回True. }
0x6:DbgkpSendApiMessage
DbgkForwardException函数根据异常结构体构造了一个DBGKM_MSG结构体后,通过DbgkpSendApiMessage函数来发送调试事件。
函数首先判断PerfGlobalGroupMask是否开启了调试事件追踪,如果是就调用EtwTraceDebuggerEvent。
判断如果当前进程是指定进程,并且指定要挂起进程,则调用DbgkpSuspendProcess挂起进程,然后调用DbgkpQueueMessage将调试消息插入队列。
然后调用ZwFlushInstructionCache刷新指令缓存,这个函数的意思不太了解,百度说是刷新指令缓存。
然后恢复进程运行,判断DbgkpQueueMessage返回值和ApiMessage返回值,如果都正常就返回了,不正常在循环调用一次。
这个函数的工作主要就是挂起进程,主要的工作都是调用DbgkpQueueMessage来做的。
__int64 __fastcall DbgkpSendApiMessage(ULONG_PTR CurrentProcess, char SuspendProcess, DBGKM_MSG *ApiMessage) { DBGKM_MSG *ApiMessage_1; // r15 char SuspendProcess_1; // bp ULONG_PTR CurrentProcess_1; // rbx int v6; // er14 unsigned int v7; // esi ApiMessage_1 = ApiMessage; SuspendProcess_1 = SuspendProcess; CurrentProcess_1 = CurrentProcess; if ( PerfGlobalGroupMask & 0x400000 ) EtwTraceDebuggerEvent(*(_QWORD *)(__readgsqword(0x188u) + 0xB8), __readgsqword(0x188u), 1); do { v6 = 0; if ( CurrentProcess_1 == *(_QWORD *)(__readgsqword(0x188u) + 0xB8) && SuspendProcess_1 & 1 )// 如果参数指定的进程等于当前进程,并且设置挂起进程,则调用DbgkpSuspendProcess挂起进程。 v6 = (unsigned __int8)DbgkpSuspendProcess(CurrentProcess_1); ApiMessage_1->ReturnedStatus = 0x103; v7 = DbgkpQueueMessage( CurrentProcess_1, __readgsqword(0x188u), ApiMessage_1, (SuspendProcess_1 & 2) != 0 ? 0x40 : 0, 0i64); ZwFlushInstructionCache(); // 刷新指令缓存 if ( v6 ) // 根据是否冻结进程判定是否解冻进程 { PsThawProcess(CurrentProcess_1, 0i64); KeLeaveCriticalRegion(); } } while ( (v7 & 0x80000000) == 0 && ApiMessage_1->ReturnedStatus == 0x40010001 );// 如果返回值没出错,并且ApiMessage的返回状态为0x40010001,则创新调用DbgkpQueueMessage函数 return v7; }
0x7:DbgkpQueueMessage
这个函数的主要任务就是根据DBGKM_MSG构建一个调试事件,并且将这个事件挂入事件链表中,这也是用户态调试的最后一个函数。
__int64 __usercall DbgkpQueueMessage@<rax>(ULONG_PTR CurrentProcess@<rcx>, ULONG_PTR CurrentThrad@<rdx>, DBGKM_MSG *ApiMessage@<r8>, int Flags@<r9d>, PRKEVENT a5) { _DEBUG_OBJECT *DebugObject; // rbx signed __int64 v6; // r12 int Flags_1; // esi DBGKM_MSG *ApiMessage_1; // rbp ULONG_PTR CurrentThrad_1; // r15 ULONG_PTR CurrentProcess_1; // r13 _DEBUG_EVENT *DebugEvent; // rax _DEBUG_EVENT *DebugEvent_1; // r14 DBGKM_APINUMBER ApiNumber; // ecx DBGKM_MSG *v15; // rsi DBGKM_MSG *v16; // rax DBGKM_MSG *v17; // rcx signed __int64 v18; // rdx __int128 v19; // xmm1 signed int result; // ebx struct _FAST_MUTEX *debug_Mutex; // r12 _LIST_ENTRY *v22; // rcx __int128 v23; // xmm1 int NOWAIT; // [rsp+30h] [rbp-1C8h] _DEBUG_EVENT v25; // [rsp+40h] [rbp-1B8h] DebugObject = (_DEBUG_OBJECT *)a5; v6 = 2i64; Flags_1 = Flags; ApiMessage_1 = ApiMessage; NOWAIT = Flags & 2; // NOWAIT CurrentThrad_1 = CurrentThrad; CurrentProcess_1 = CurrentProcess; if ( Flags & 2 ) // DEBUG_EVENT_NOWAIT,检查Flag是否设置了NOWAIT标志,如果没有设置,函数需要等待调试器回复,如果设置了这个标志,则不需要等待调试器 { DebugEvent = (_DEBUG_EVENT *)ExAllocatePoolWithQuotaTag((POOL_TYPE)0x208, 0x168ui64, 0x45676244u);// 如果不需要等待调试器回复,则不能使用栈中的内存构建DEBUG_EVENT结构体,需要分配堆内存 DebugEvent_1 = DebugEvent; if ( !DebugEvent ) return 0xC000009Ai64; DebugEvent->Flags = Flags_1 | 4; ObfReferenceObjectWithTag(CurrentProcess_1, 1332175428i64); ObfReferenceObjectWithTag(CurrentThrad_1, 1332175428i64); DebugEvent_1->BackoutThread = (PETHREAD)__readgsqword(0x188u); } else { // 等待调试器回复 v25.Flags = Flags; DebugEvent_1 = &v25; ExAcquireFastMutex(&DbgkpProcessDebugPortMutex); ApiNumber = ApiMessage_1->ApiNumber; DebugObject = *(_DEBUG_OBJECT **)(CurrentProcess_1 + 0x420); if ( (unsigned int)(ApiNumber - 1) <= 1 && *(_BYTE *)(CurrentThrad_1 + 0x6BC) & 0x40 )// 判断这个事件如果是线程进程创建,并且线程设置了SkipCreationMsg,则将DebugObject设置为零 DebugObject = 0i64; if ( ApiNumber == 5 && (unsigned __int8)Flags_1 & *(_BYTE *)(CurrentThrad_1 + 0x6BC) & 0x40 )// 判断这个事件如果是模块加载,并且线程设置了SkipCreationMsg,则将DebugObject设置为零 DebugObject = 0i64; if ( (unsigned int)(ApiNumber - 3) <= 1 && *(_BYTE *)(CurrentThrad_1 + 0x6BC) < 0 )// 判断这个事件如果是线程进程退出,并且线程设置了SkipTerminationMsg,则将DebugObject设置为零,这里F5有错误,实际上后面会&0x80 DebugObject = 0i64; KeInitializeEvent(&v25.ContinueEvent, SynchronizationEvent, 0);// 初始化一个同步对象,为了等待调试器回复 } v15 = &DebugEvent_1->ApiMsg; DebugEvent_1->Process = (PEPROCESS)CurrentProcess_1; v16 = &DebugEvent_1->ApiMsg; DebugEvent_1->Thread = (PETHREAD)CurrentThrad_1; v17 = ApiMessage_1; v18 = 2i64; do { *(_OWORD *)&v16->h.u1.s1.DataLength = *(_OWORD *)&v17->h.u1.s1.DataLength; *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&v16->h.8 + 8) = *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&v17->h.8 + 8); *(_OWORD *)&v16->h.ClientViewSize = *(_OWORD *)&v17->h.ClientViewSize; *(_OWORD *)&v16->u.Exception.ExceptionRecord.ExceptionCode = *(_OWORD *)&v17->u.Exception.ExceptionRecord.ExceptionCode; *((_OWORD *)&v16->u.UnloadDll + 1) = *((_OWORD *)&v17->u.UnloadDll + 1); *((_OWORD *)&v16->u.UnloadDll + 2) = *((_OWORD *)&v17->u.UnloadDll + 2); *((_OWORD *)&v16->u.UnloadDll + 3) = *((_OWORD *)&v17->u.UnloadDll + 3); v16 = (DBGKM_MSG *)((char *)v16 + 128); v19 = *((_OWORD *)&v17->u.UnloadDll + 4); v17 = (DBGKM_MSG *)((char *)v17 + 128); *((_OWORD *)&v16[-1].u.UnloadDll + 9) = v19; --v18; } while ( v18 ); *(_OWORD *)&v16->h.u1.s1.DataLength = *(_OWORD *)&v17->h.u1.s1.DataLength; _mm_storeu_si128((__m128i *)&DebugEvent_1->ClientId, *(__m128i *)(CurrentThrad_1 + 0x628)); if ( DebugObject ) // 判断获取调试对象是否正常 { debug_Mutex = &DebugObject->Mutex; ExAcquireFastMutex(&DebugObject->Mutex); // 获取调试对象的互斥体 if ( DebugObject->Flags & 1 ) // 判断调试器是否处于活跃状态,如果不是则返回c0000354 { result = 0xC0000354; } else { v22 = DebugObject->EventList.Blink; // 将调试事件挂入到调试对象的事件链表中 DebugEvent_1->EventList.Flink = &DebugObject->EventList; DebugEvent_1->EventList.Blink = v22; if ( v22->Flink != &DebugObject->EventList ) __fastfail(3u); v22->Flink = &DebugEvent_1->EventList; DebugObject->EventList.Blink = &DebugEvent_1->EventList; if ( !NOWAIT ) KeSetEvent(&DebugObject->EventsPresent, 0, 0);// 如果不是NOWAIT状态,触发EventsPresent这个事件,通知调试器来处理调试事件。 result = 0; } KeReleaseGuardedMutex(debug_Mutex); // 释放调试对象的互斥体 v6 = 2i64; } else { // 如果调试对象获取失败,则返回c00000353 result = 0xC0000353; } if ( NOWAIT ) { if ( result < 0 ) // 如果返回值出错,则释放引用的进程线程对象,释放分配的DebugEvent内存 { ObfDereferenceObjectWithTag(CurrentProcess_1); ObfDereferenceObjectWithTag(CurrentThrad_1); ExFreePoolWithTag(DebugEvent_1, 0); } } else { KeReleaseGuardedMutex(&DbgkpProcessDebugPortMutex);// 释放DbgkpProcessDebugPortMutex互斥锁 if ( result >= 0 ) { KeWaitForSingleObject(&DebugEvent_1->ContinueEvent, 0, 0, 0, 0i64);// 等待调试事件的ContinueEvent,当事件被调试器处理完成的时候这个对象会被触发,当前线程也会被唤醒。 result = DebugEvent_1->Status; do // 通过调试事件的状态来设置ApiMessage,因为上一个函数需要通过ApiMessage的返回值决定下一步的行为。 { *(_OWORD *)&ApiMessage_1->h.u1.s1.DataLength = *(_OWORD *)&v15->h.u1.s1.DataLength; *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&ApiMessage_1->h.8 + 8) = *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&v15->h.8 + 8); *(_OWORD *)&ApiMessage_1->h.ClientViewSize = *(_OWORD *)&v15->h.ClientViewSize; *(_OWORD *)&ApiMessage_1->u.Exception.ExceptionRecord.ExceptionCode = *(_OWORD *)&v15->u.Exception.ExceptionRecord.ExceptionCode; *((_OWORD *)&ApiMessage_1->u.UnloadDll + 1) = *((_OWORD *)&v15->u.UnloadDll + 1); *((_OWORD *)&ApiMessage_1->u.UnloadDll + 2) = *((_OWORD *)&v15->u.UnloadDll + 2); *((_OWORD *)&ApiMessage_1->u.UnloadDll + 3) = *((_OWORD *)&v15->u.UnloadDll + 3); ApiMessage_1 = (DBGKM_MSG *)((char *)ApiMessage_1 + 128); v23 = *((_OWORD *)&v15->u.UnloadDll + 4); v15 = (DBGKM_MSG *)((char *)v15 + 128); *((_OWORD *)&ApiMessage_1[-1].u.UnloadDll + 9) = v23; --v6; } while ( v6 ); *(_OWORD *)&ApiMessage_1->h.u1.s1.DataLength = *(_OWORD *)&v15->h.u1.s1.DataLength; } } return (unsigned int)result; }
首先判断了参数中Flags是否指定了NOWAIT标志,如果指定了NOWAIT标志代表不需要等待调试器处理完直接返回。
如果指定了NOWAIT标志,就调用ExAllocatePoolWithQuotaTag分配DebugEvent的内存,因为如果不等待直接返回就不能用栈内存。
分配完内存后检查是否分配成功,如果未分配成功则直接返回。
if ( Flags & 2 ) // DEBUG_EVENT_NOWAIT,检查Flag是否设置了NOWAIT标志,如果没有设置,函数需要等待调试器回复,如果设置了这个标志,则不需要等待调试器 { DebugEvent = (_DEBUG_EVENT *)ExAllocatePoolWithQuotaTag((POOL_TYPE)0x208, 0x168ui64, 0x45676244u);// 如果不需要等待调试器回复,则不能使用栈中的内存构建DEBUG_EVENT结构体,需要分配堆内存 DebugEvent_1 = DebugEvent; if ( !DebugEvent ) return 0xC000009Ai64; DebugEvent->Flags = Flags_1 | 4; ObfReferenceObjectWithTag(CurrentProcess_1, 1332175428i64); ObfReferenceObjectWithTag(CurrentThrad_1, 1332175428i64); DebugEvent_1->BackoutThread = (PETHREAD)__readgsqword(0x188u); }
如果没有指定NOWAIT标志,则首先获取DbgkpProcessDebugPortMutex,这是一个全局互斥锁,来保证将调试事件挂入链表的时候不会发生多线程问题。
然后通过进程结构体获取调试对象,并且判断这个事件是否被设置了跳过,如果是的话则将调试对象设置为零。
经历这些判断后,调用KeInitializeEvent初始化一个事件,用于等待调试器回复用。
else { // 等待调试器回复 v25.Flags = Flags; DebugEvent_1 = &v25; ExAcquireFastMutex(&DbgkpProcessDebugPortMutex); ApiNumber = ApiMessage_1->ApiNumber; DebugObject = *(_DEBUG_OBJECT **)(CurrentProcess_1 + 0x420); if ( (unsigned int)(ApiNumber - 1) <= 1 && *(_BYTE *)(CurrentThrad_1 + 0x6BC) & 0x40 )// 判断这个事件如果是线程进程创建,并且线程设置了SkipCreationMsg,则将DebugObject设置为零 DebugObject = 0i64; if ( ApiNumber == 5 && (unsigned __int8)Flags_1 & *(_BYTE *)(CurrentThrad_1 + 0x6BC) & 0x40 )// 判断这个事件如果是模块加载,并且线程设置了SkipCreationMsg,则将DebugObject设置为零 DebugObject = 0i64; if ( (unsigned int)(ApiNumber - 3) <= 1 && *(_BYTE *)(CurrentThrad_1 + 0x6BC) < 0 )// 判断这个事件如果是线程进程退出,并且线程设置了SkipTerminationMsg,则将DebugObject设置为零,这里F5有错误,实际上后面会&0x80 DebugObject = 0i64; KeInitializeEvent(&v25.ContinueEvent, SynchronizationEvent, 0);// 初始化一个同步对象,为了等待调试器回复 }
然后就开始通过ApiMessage来构造DebugEvent结构体。
构建完结构体之后,检查调试对象是否不为零,如果为零直接返回错误,如果调试对象正常,则检查调试对象是否是活跃的。
然后获取调试对象的互斥锁,并且将调试事件挂入到调试对象的事件列表中。(其实这里有一点疑惑,如果只是为了在挂入链表时保证多线程安全的话,获取一个调试对象的互斥锁就可以了,为什么还要获取DbgkpProcessDebugPortMutex)
然后把调试事件挂入到事件链表中,挂入完成后,如果没指定NOWAIT标志,则调用KeSetEvent设置DebugObject->EventsPresent事件,用来通知调试器处理调试事件,然后释放调试对象的互斥锁。
v15 = &DebugEvent_1->ApiMsg; DebugEvent_1->Process = (PEPROCESS)CurrentProcess_1; v16 = &DebugEvent_1->ApiMsg; DebugEvent_1->Thread = (PETHREAD)CurrentThrad_1; v17 = ApiMessage_1; v18 = 2i64; do { *(_OWORD *)&v16->h.u1.s1.DataLength = *(_OWORD *)&v17->h.u1.s1.DataLength; *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&v16->h.8 + 8) = *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&v17->h.8 + 8); *(_OWORD *)&v16->h.ClientViewSize = *(_OWORD *)&v17->h.ClientViewSize; *(_OWORD *)&v16->u.Exception.ExceptionRecord.ExceptionCode = *(_OWORD *)&v17->u.Exception.ExceptionRecord.ExceptionCode; *((_OWORD *)&v16->u.UnloadDll + 1) = *((_OWORD *)&v17->u.UnloadDll + 1); *((_OWORD *)&v16->u.UnloadDll + 2) = *((_OWORD *)&v17->u.UnloadDll + 2); *((_OWORD *)&v16->u.UnloadDll + 3) = *((_OWORD *)&v17->u.UnloadDll + 3); v16 = (DBGKM_MSG *)((char *)v16 + 128); v19 = *((_OWORD *)&v17->u.UnloadDll + 4); v17 = (DBGKM_MSG *)((char *)v17 + 128); *((_OWORD *)&v16[-1].u.UnloadDll + 9) = v19; --v18; } while ( v18 ); *(_OWORD *)&v16->h.u1.s1.DataLength = *(_OWORD *)&v17->h.u1.s1.DataLength; _mm_storeu_si128((__m128i *)&DebugEvent_1->ClientId, *(__m128i *)(CurrentThrad_1 + 0x628)); if ( DebugObject ) // 判断获取调试对象是否正常 { debug_Mutex = &DebugObject->Mutex; ExAcquireFastMutex(&DebugObject->Mutex); // 获取调试对象的互斥体 if ( DebugObject->Flags & 1 ) // 判断调试器是否处于活跃状态,如果不是则返回c0000354 { result = 0xC0000354; } else { v22 = DebugObject->EventList.Blink; // 将调试事件挂入到调试对象的事件链表中 DebugEvent_1->EventList.Flink = &DebugObject->EventList; DebugEvent_1->EventList.Blink = v22; if ( v22->Flink != &DebugObject->EventList ) __fastfail(3u); v22->Flink = &DebugEvent_1->EventList; DebugObject->EventList.Blink = &DebugEvent_1->EventList; if ( !NOWAIT ) KeSetEvent(&DebugObject->EventsPresent, 0, 0);// 如果不是NOWAIT状态,触发EventsPresent这个事件,通知调试器来处理调试事件。 result = 0; } KeReleaseGuardedMutex(debug_Mutex); // 释放调试对象的互斥体 v6 = 2i64; } else { // 如果调试对象获取失败,则返回c00000353 result = 0xC0000353; }
继续判断,如果指定了NOWAIT标志,并且返回值小于零,也就是代表出现错误,则释放申请的内存,并且将引用的对象解引用。
如果没指定NOWAIT标志,则释放DbgkpProcessDebugPortMutex全局互斥锁,然后调用KeWaitForSingleObject等待DebugEvent_1->ContinueEvent,当事件被调试器处理完成后会触发这个事件,当前线程会被唤醒继续执行。
然后通过调试事件的信息来填充ApiMessage,用于通知上一层函数事件处理的结果。
if ( NOWAIT ) { if ( result < 0 ) // 如果返回值出错,则释放引用的进程线程对象,释放分配的DebugEvent内存 { ObfDereferenceObjectWithTag(CurrentProcess_1); ObfDereferenceObjectWithTag(CurrentThrad_1); ExFreePoolWithTag(DebugEvent_1, 0); } } else { KeReleaseGuardedMutex(&DbgkpProcessDebugPortMutex);// 释放DbgkpProcessDebugPortMutex互斥锁 if ( result >= 0 ) { KeWaitForSingleObject(&DebugEvent_1->ContinueEvent, 0, 0, 0, 0i64);// 等待调试事件的ContinueEvent,当事件被调试器处理完成的时候这个对象会被触发,当前线程也会被唤醒。 result = DebugEvent_1->Status; do // 通过调试事件的状态来设置ApiMessage,因为上一个函数需要通过ApiMessage的返回值决定下一步的行为。 { *(_OWORD *)&ApiMessage_1->h.u1.s1.DataLength = *(_OWORD *)&v15->h.u1.s1.DataLength; *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&ApiMessage_1->h.8 + 8) = *(union _PORT_MESSAGE::$C6BC508B531A81D74C33985719C23F49 *)((char *)&v15->h.8 + 8); *(_OWORD *)&ApiMessage_1->h.ClientViewSize = *(_OWORD *)&v15->h.ClientViewSize; *(_OWORD *)&ApiMessage_1->u.Exception.ExceptionRecord.ExceptionCode = *(_OWORD *)&v15->u.Exception.ExceptionRecord.ExceptionCode; *((_OWORD *)&ApiMessage_1->u.UnloadDll + 1) = *((_OWORD *)&v15->u.UnloadDll + 1); *((_OWORD *)&ApiMessage_1->u.UnloadDll + 2) = *((_OWORD *)&v15->u.UnloadDll + 2); *((_OWORD *)&ApiMessage_1->u.UnloadDll + 3) = *((_OWORD *)&v15->u.UnloadDll + 3); ApiMessage_1 = (DBGKM_MSG *)((char *)ApiMessage_1 + 128); v23 = *((_OWORD *)&v15->u.UnloadDll + 4); v15 = (DBGKM_MSG *)((char *)v15 + 128); *((_OWORD *)&ApiMessage_1[-1].u.UnloadDll + 9) = v23; --v6; } while ( v6 ); *(_OWORD *)&ApiMessage_1->h.u1.s1.DataLength = *(_OWORD *)&v15->h.u1.s1.DataLength; } } return (unsigned int)result;
以上,就是用户态调试流程的全部内容,能力有限,有些地方分析的不是很细致~
