10.0 探索API调试事件原理

本章笔者将通过Windows平台下自带的调试API接口实现对特定进程的动态转存功能，首先简单介绍一下关于调试事件的相关信息，调试事件的建立需要依赖于DEBUG_EVENT这个特有的数据结构，该结构用于向调试器报告调试事件。当一个程序发生异常事件或者被调试器附加时，就会产生对应的DEBUG_EVENT调试事件，通常DEBUG_EVENT包含了多种调试类型，包括异常事件、进程创建事件、线程创建事件、进程退出事件和线程退出事件等等，我们只需要动态捕捉这些调试事件并作相应的处理即可实现更多有用的功能。

调试事件通常可以分为如下几种类型；

• 异常事件 (Exception Event) - 发生了异常，例如访问非法的内存、除以零或调用了无效的函数。
• 进程创建事件 (Process Creation Event) - 当一个新进程被创建时发送此事件。
• 进程退出事件 (Process Exit Event) - 当一个进程退出时发送此事件。
• 线程创建事件 (Thread Creation Event) - 当一个新线程被创建时发送此事件。
• 线程退出事件 (Thread Exit Event) - 当一个线程退出时发送此事件。
• 调试字符串事件 (Debug String Event) - 当一个进程向其调试器发送字符串消息时发送此事件。
• 输出字符串事件 (Output String Event) - 当输出调试字符串时发送此事件。
• 动态链接库加载事件（LOAD_DLL_DEBUG_EVENT） - 当进程装载 DLL 时发送此事件。

当我们需要调试一个程序时有两种方式可以实现，第一种方式是通过CreateProcess()函数创建一个进程，并在调用函数时指定DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS则当程序被运行起来后自动进入到调试状态，另一种方式则是通过DebugActiveProcess()函数，该函数接受一个正在运行的进程PID号，可动态附加到一个已运行程序上而对其进行调试。

一旦调试器通过CreateProcess()附加并运行，下一步则是通过WaitForDebugEvent()用于等待一个调试事件，当有调试事件到达后系统会将调试类型存储到debugEvent.dwDebugEventCode这个变量内，此时我们可以通过判断该变量内的参数来对特定的事件做出自定义处理操作，接着会通过ContinueDebugEvent()继续等待下一个调试事件的到来，我们以打开一个进程并创建调试为例，看一下如下代码片段；

#include <iostream>
#include <windows.h>int main(int argc, char* argv[])
{DEBUG_EVENT debugEvent = { 0 };BOOL bRet = TRUE;// 创建调试进程STARTUPINFO startupInfo = { 0 };PROCESS_INFORMATION pInfo = { 0 };GetStartupInfo(&startupInfo);// 创建调试进程并设置 DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS 调试事件bRet = CreateProcess("d://lyshark.exe", NULL, NULL, NULL, TRUE, DEBUG_PROCESS || DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &startupInfo, &pInfo);if (!bRet){return 0;}// 附加调试进程// DebugActiveProcess(13940)// 无限循环等待调试事件while (WaitForDebugEvent(&debugEvent, INFINITE)){// 根据调试事件判断switch (debugEvent.dwDebugEventCode){// 异常调试事件case EXCEPTION_DEBUG_EVENT:printf("异常处理事件 \n");break;// 线程创建调试事件case CREATE_THREAD_DEBUG_EVENT:printf("线程创建调试事件 \n");break;// 进程创建调试事件case CREATE_PROCESS_DEBUG_EVENT:printf("进程创建调试事件 \n");break;// 线程退出调试事件case EXIT_THREAD_DEBUG_EVENT:printf("线程退出调试事件 \n");break;// 进程退出调试事件case EXIT_PROCESS_DEBUG_EVENT:printf("进程退出调试事件 \n");break;// 装载DLL调试事件case LOAD_DLL_DEBUG_EVENT:printf("装载DLL调试事件 \n");break;// 卸载DLL调试事件case UNLOAD_DLL_DEBUG_EVENT:printf("卸载DLL调试事件 \n");break;// 输出调试信息事件case OUTPUT_DEBUG_STRING_EVENT:printf("输出调试信息事件 \n");break;}// 使调试器能够继续以前报告调试事件的线程bRet = ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);}system("pause");return 0;
}

当编译并运行上述程序后，读者应该能看到如下图所示的输出效果，其中包括了各类调试事件被触发时的提示信息，由于在调试事件内没有做任何操作，程序在加载后就被自动运行起来了；

本文作者： 王瑞
本文链接： https://www.lyshark.com/post/b8eecce4.html
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！