最近在看《軟件調試》這本書,為了加深理解,就到google code里搜了一個叫opendbg的開源debugger看看代碼。這個項目的最后更新日期是08年8月,似乎又爛尾了,這種爛尾開源項目真是數不勝數,不過幸好opendbg的整體架構已經搭出來了。
讓我們直接進ring0,看作為一個debugger需要在內核里做什么事情
要進ring0,一定要寫driver,driver的入口多半是DriverEntry,果然一搜就搜到在src\kernel\sys里有DriverEntry函數。這個函數非常簡單,就做了三件事情:先后調用init_dbg_item,init_debug,和init_syscall函數。init_dbg_item函數初始化了一個dbg_item_list,所謂的dbg_item是用來替代windows中原有的debug port和debug消息循環的,open dbg的作者似乎想完全脫離windows的原生debug支持,全部重新寫一套。i
nit_debug調用了幾次set_sdt_hook函數,替換了幾個系統調用,把ZwTerminateProcess,ZwCreateThread和KiDispatchException函數hook成自己的函數。我們知道斷點,單步等都是走異常這條路的,再加上線程的創建和銷毀,基本上常有的時間都能被捕獲到了,但是沒見到有fake create等的事件,所以該opendbg應該是不支持attach to process功能的。
set_sdt_hook函數非常簡單,因為你已經在ring0了,在這個空間里只有想不到的,沒有做不了的,好的壞的什么事情都能做。讓我們看看set_sdt_hook都干了些什么:
void set_sdt_hook(int num, void *np, void *op)
{
u64 cr0;
cr0 = mem_open();
ppv(op)[0] = SYSCALL(num);
SYSCALL(num) = np;
mem_close(cr0);
}
關鍵一步就是把系統調用表里的num號指定的項替換成參數np,替換后,相應的系統調用就會走np指定的那條路。
SYSCALL是一個宏,原型如下
#define SYSCALL(function) KeServiceDescriptorTable->ntoskrnl.ServiceTable[function]
KeServiceDescriptorTable是系統的一個全局變量,指向系統調用表。SYSCALL(num) = np; 就是替換的關鍵語句。
hook住關鍵系統調用后,debug引擎就能開始正常運轉了。比如debugee程序觸發一個斷點后,被替換掉的KiDispatchException就會被調用到,新的KiDispatchException函數檢測是否是用戶態程序觸發的異常(也就是說該opendbg不支持內核調試),如果是便轉入dbg_process_exception函數。
static
int dbg_process_exception(
PEXCEPTION_RECORD except_record,
BOOLEAN first_chance
)
{
dbg_item *debug = NULL;
int handled = 0;
u32 i, code = except_record->ExceptionCode;
dbg_msg msg;
cont_dat cont;
do
{
if ( (debug = dbg_find_item(NULL, IoGetCurrentProcess())) == NULL ) {
break;
}
/* check event mask */if ( (debug->filter.event_mask & DBG_EXCEPTION) == 0 ) {
break;
}
/* check exception filters */for (i = 0; i < debug->filter.filtr_count; i++)
{
if ( (code >= debug->filter.filters[i].filtr_from) &&
(code <= debug->filter.filters[i].filtr_to) )
{
break;
}
}
/* setup debug message */
msg.process_id = PsGetCurrentProcessId();
msg.thread_id = PsGetCurrentThreadId();
msg.event_code = DBG_EXCEPTION;
msg.exception.first_chance = first_chance;
/* copy exception record */
fastcpy(
&msg.exception.except_record, except_record, sizeof(EXCEPTION_RECORD)
);
/* send debug message and recive replay */if (channel_send_recv(debug->chan, &msg, &cont) == 0) {
break;
}
if (cont.status & RES_CORRECT_FRAME)
{
/* correct exception record */
fastcpy(
except_record, &cont.new_record, sizeof(EXCEPTION_RECORD)
);
}
if (cont.status & RES_CONTINUE) {
handled = 1;
}
} while (0);
if (debug != NULL) {
dbg_deref_item(debug);
}
return handled;
}
dbg_process_exception函數首先尋找本線程上是否附著了debug_item,如果有,則說明自己正在被調試,于是便準備好一個dbg_item結構,往里邊填充processid,threadid,event_type,first_chance等,然后調用channel_send_recv函數。channel_send_recv函數會一直等待直到debugger有回應讓線程繼續執行或者終止或者怎樣。在此過程中,debugger程序可以利用ReadProcessMemory,WriteProcessMemory等一系列函數對debuggee程序進行監控,修改等。
至此,opendbg的核心內容就做完了,剩下一堆跟用戶交互啥的事情沒有處理。即使作為原型它也還是有不少需要解決的問題,比如整個過程中,觸發異常的線程都沒有采取措施讓其他線程也掛起等。考慮到原作者似乎也沒什么動力繼續更新了,我看這些問題被解決的可能性也很渺茫了吧。