前兩天有朋友問:“如何監控自己的程序創建的子進程所發生的異常?”一開始,我以為這子進程是他自己編寫的程序,所以直接就說:“在子進程的代碼中使用“SetUnhandledExceptionFilter”這個API,注冊一個未處理異常的回調函數,然后在回調函數中做相應處理就可以了。”實際上,現在大部分應用程序也都使用了這個API來監控自己的程序的崩潰情況。例如QQ、遨游等,在崩潰的時候都會提示需要發送一個錯誤報告文件,這個錯誤報告文件就是用這種方式生成的。
但是,隨后這位朋友說,這個子進程并不是他編寫的,沒辦法修改程序的代碼。實際上他是需要做計算機病毒分析,要對一些病毒程序的運行情況進行監控。
在這樣的狀況下,我想到了這樣一個思路:就是將他的監控程序注冊為系統中的實時調試器,這樣系統中有任何進程發生崩潰時,Windows都會將該進程的PID傳遞給這個監控程序。至于崩潰進程是否是他的子進程,只需要根據PID就可以簡單地判斷出來了。
所謂“實時調試”(英語叫Just-In-Time debugging),其實就是Visual Studio以及Windbg等調試程序將自己注冊為系統中的默認調試器的機制。用過Visual Studio的都知道,安裝了這玩意之后,每當程序崩潰,VS都可以直接跳出來詢問是否對該進程進行調試,這就是“實時調試”的能力。
具體的注冊方式其實很簡單,修改注冊表就可以實現。打開[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]這個鍵,在其下建立“Debugger”的字符串值,具體內容填寫“監控進程的全路徑 -p %ld -e %ld”,例如“c:\exceptionMonitor.exe -p %ld -e %ld”。監控程序要支持兩個參數,一個是“-p”,一個是“-e”,當有程序崩潰時,系統會把用程序的PID替換參數中的“%ld”,傳遞給監控程序。
但還有一些其他的問題,這就是系統只能設置一個實時調試器。如果系統中已經有VS等程序注冊過了,我們去修改這個值不就影響了這些程序的監控嗎?這個問題其實也好解決,只要采取計算機安全領域里用到爛大街的“Hook”思想就可以了。具體方式是首先將VS等其他程序注冊的“Debugger”值保存到另外一個鍵值下,例如取名為“PreviousDebugger”,然后再把我們的程序寫到真正的“Debugger”鍵值下。當系統中的程序發生崩潰并被我們的監控程序截獲后,我們首先進行自己的處理,處理完畢再根據“PreviousDebugger”中記錄的調試程序路徑,將崩潰的程序“扔”給后續的調試程序。如此一來,大家都有機會進行處理,各取所需,皆大歡喜了。
最后要說明的是,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]下面還有一個Auto值,如果這個值為“0”的話,那么當程序崩潰的時候系統會彈出一個對話框,讓用戶選擇是否啟動調試器。要是用戶選擇不啟動,我們的監控程序就等于是“白給”了。所以,我們務必要把這個值設為“1”啊,切記切記。
轉自:
http://blog.sina.com.cn/s/blog_53f909390100n3p8.html