Win32调试API学习心得

时间:2010-01-28 08:40:57  来源:第二电脑网  作者:第二电脑网

  第二电脑网导读:概述:   Windows提供了一组供程序员使用的API,使用这些API,我们能够建立或捆绑到已运行的程序上来对他们进行调试,能获得程序的底层信息和调试信息.如果你原意的话,甚至可以对被调试程序进行任意的修改(用WriteProcessMemory).    先让我们从一个有趣的小例子开始吧: 打开DELPHI,新建工程,然后双击主窗体,在主窗体的Create事件中写...
  正文:最近学习了一下WIN32的调试API,并做了一个简单的调试器,略有心得,特写出来希望对需要的朋友有所帮助.

参考资料:lczlion: win32汇编程序设计
         彭春华: 用Debug函数实现API函数的跟踪

概述:
   Windows提供了一组供程序员使用的API,使用这些API,我们能够建立或捆绑到已运行的程序上来对他们进行调试,能获得程序的底层信息和调试信息.如果你原意的话,甚至可以对被调试程序进行任意的修改(用WriteProcessMemory).

    先让我们从一个有趣的小例子开始吧: 打开Delphi,新建工程,然后双击主窗体,在主窗体的Create事件中写下如下代码.

procedure TForm1.FormCreate(Sender: TObject);
var
isDebuggerPresent: function:Boolean;
DllModule: THandle;
begin
  DllModule := LoadLibrary('kernel32.dll');
  isDebuggerPresent := GetProcAddress(DllModule, 'IsDebuggerPresent');
  if isDebuggerPresent then
  begin
    MessageBox(self.Handle, '请不要调试我!', '抗议', MB_OK or MB_ICONASTERISK);
    Application.Terminate;
  end;
end;

     按F9运行,程序执行得并不顺利,在弹出来一个抱怨你调试了它的窗口后就中止了.然后我们再在DELPHI的Projecs目录下找到刚刚编释出来的程序, 双击执行它,这次窗口就老老实实的出来了,这是怎么回事呢?

    原来上面的isDebuggerPresent就是Win32调试API中的一员,它的作用是判断调用它的进程是否在调试描述表下运行(也就是是否处于被调试状态),另一方面也说明了DELPHI的调试器也是用Win32调试API实现的.这下对调试API有兴趣了吧?那让我们来继续深入调试API的世界!

得到一个供调试的程序:
    由于我们的程序要扮演调试器的角色,我们还必需要有一个供调试的程序.这个程序可以通过二种方法获得:
   1:使用DebugActiveProcess函数.
     这个函数的定义是DebugActiveProcess(dwProcessID: Dword):Bool; stdcall, dwProcessID用于指定被调试的进程的标识符,如果函数调用成功返回TRUE,失败返回FALSE.注意,如果是在NT/2000/XP上,如果目标进程是由一个安全描述器创建的,而该安全描述符使调试器没有充分的访问权,那么此函数的调用可能失败.  
   2:使用CreateProcess函数.
    这个函数的定义是

CreateProcess(lpApplicationName: PChar; lpCommandLine:     PChar;lpProcessAttributes, lpThreadAttributes: photoshop/ target=_blank class=infotextkey>psecurityAttributes;
bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
lpCurrentDirectory: PChar; const lpStartupInfo: TStartupInfo;
var lpProcessInformation: TProcessInformation): BOOL; stdcall;

    由于篇幅原因,这儿就不详解CreateProcess的每个参数的含义,具体请参考API大全,我们这儿只谈如何创建一个被调试的进程.即设置dwCreationFlags参数,你可以指定DEBUG_PROCESS标志来建立一个被调试进程,同时被调试进程的子进程的调试信息也将通知我们的调试器.还可以指定DEBUG_PROCESS or DEBUG_ONLY_THIS_PROCESS标志来表示只调试当前过程.

处理调试信息:
    当我们用上面的方法之一打开了被调试的程序后,我们的程序应调用WaitForDebugEvent等待处理调试事件.它阻塞调用线程直到调试的事件发生.此函数的定义是:

WaitForDebugEvent(var lpDebugEvent: TDebugEvent; dwMilliseconds: DWORD): BOOL; stdcall;

其中lpDebugEvent结构将在调试事件发生时返回发生的调试事件信息.dwMilliseconds值指定函数等待调试事件的时间,以毫秒为单位,一般设为INFINITE,表示一直等待直到调试事件发生. "Win32调试API学习心得"由第二电脑网原创提供,转载请注明:http://www.002pc.com/master/College/Language/Delphi/12537.html


关键字:

关于《Win32调试API学习心得》文章的评论

站内搜索: 高级搜索

热门搜索: Windows style 系统 tr IP QQ CPU 安装 function 注册 if td