过双机调试,某p_win_7_X86_sp1资源-CSDN文库

共42个文件

tlog：9个

ipch：7个

inf：4个

需积分: 10 182 浏览量 2019-01-15 00:49:46 上传评论 1 收藏 15.39MB ZIP 举报

在IT行业中，双机调试是一种常见的软件开发与测试技术，特别是在驱动程序的开发过程中尤为重要。双机调试，顾名思义，就是在两台计算机之间进行的调试过程，通常用于调试那些需要在特定环境下运行或者涉及网络通信的程序，如驱动程序。在本案例中，我们讨论的是在"win7_x86_sp1"（Windows 7 32位 Service Pack 1）操作系统下，成功通过了双机调试的场景，尤其适用于驱动程序的调试。让我们理解一下双机调试的工作原理。在双机调试中，一台计算机（主机）作为调试环境，运行被调试的程序或驱动，而另一台计算机（从机）则运行调试器，如Microsoft的Visual Studio或WinDbg等。调试器通过网络连接或者其他通信方式与主机建立连接，从而能够控制主机上的程序执行，设置断点，查看内存状态，跟踪变量等。在"p_win_7_X86_sp1"这个特定的案例中，用户提到的是一个可能的游戏虚拟机环境。在这样的环境中，游戏可能会包含一些自定义的驱动程序，这些驱动可能需要在特定的系统配置下进行调试。通过先启动游戏虚拟机并使其“卡主”，意味着游戏运行到某个特定的状态，然后从外部连接调试器进行中断。这种做法可以帮助开发者定位驱动程序在运行过程中的问题，例如内存泄漏、系统崩溃或者是性能瓶颈。标签"驱动"进一步强调了这里的调试重点是针对驱动程序。驱动程序是操作系统与硬件设备之间的桥梁，它们负责解释硬件的指令，让操作系统能有效地管理和使用硬件资源。调试驱动程序通常比调试应用程序更为复杂，因为错误可能会导致系统不稳定甚至崩溃。至于"TPShuangJi"，这可能是某种驱动程序的名称或者是调试工具的简称。由于信息有限，无法确定其具体含义，但可以猜测它可能是专为这个双机调试过程设计的工具或者是一个特定的驱动项目。双机调试在驱动开发中扮演着关键角色，尤其是在处理复杂的系统环境和硬件交互时。在Windows 7 x86 SP1系统下，通过这样的调试方法，开发者可以更深入地理解驱动在实际运行中的行为，从而修复潜在问题，优化性能，确保驱动程序的稳定性和兼容性。在实际操作中，开发者需要注意网络连接的稳定性，以及正确配置调试器和被调试程序之间的通信协议。此外，对于虚拟机环境，还需要确保虚拟化设置正确，以便于调试器能够顺利地监控和控制虚拟机内的程序行为。

资源推荐

资源详情

资源评论

收起资源包目录

_PShuangJi.zip （42个子文件）

TPShuangJi

Debug

TPShuangJi

TPShuangJi.inf 2KB

TPShuangJi.sys 10KB

WdfCoinstaller01009.dll 1.39MB

TPShuangJi.inf 2KB

TPShuangJi.pdb 588KB

TPShuangJi.sys 10KB

TPShuangJi

function.h 2KB

Debug

DriverEntry.obj 30KB

vc141.pdb 132KB

function.obj 26KB

HideDriver.obj 13KB

TPShuangJi.inf 2KB

TPShuangJi.tlog

stampinf.write.1.tlog 232B

CL.read.1.tlog 18KB

link.read.1.tlog 2KB

TPShuangJi.lastbuildstate 225B

link.write.1.tlog 554B

CL.write.1.tlog 2KB

stampinf.read.1.tlog 332B

link.command.1.tlog 5KB

CL.command.1.tlog 4KB

stampinf.command.1.tlog 396B

TPShuangJi.log 838B

TPShuangJi.vcxproj.user 271B

TPShuangJi.inf 2KB

TPShuangJi.vcxproj.filters 2KB

HideDriver.c 1022B

TPShuangJi.vcxproj 8KB

function.c 8KB

MyDriver.h 11KB

HideDriver.h 1000B

DriverEntry.c 2KB

.vs

TPShuangJi

v15

ipch

AutoPCH

a31e8d38d347be57

HIDEDRIVER.ipch 704KB

2cbab2564fa1d967

HIDEKM.ipch 14.06MB

b0a7d04c3a976440

FUNCTION.ipch 704KB

b0cd324c3ab72703

FUNCTION.ipch 704KB

a2f92b38d327fb94

HIDEDRIVER.ipch 704KB

ed0dd47c73443c58

MYDRIVER.ipch 15.13MB

aafb094c02dd353

DRIVERENTRY.ipch 14.13MB

.suo 51KB

Browse.VC.db 12.42MB

TPShuangJi.sln 3KB

#pragma once #include <string.h> #include "function.h" // 地址精准特征码模糊特征码================================ BOOLEAN bCompare(const UCHAR* pData, const UCHAR* bMask, const char* szMask) { for (; *szMask; ++szMask, ++pData, ++bMask) { if (*szMask == 'x' && *pData != *bMask) { return 0; } } return *szMask == '\0'; } // 开始地址长度精准特征码模糊特征码============================ ULONG FindPattern(ULONG dwdwAdd, ULONG dwLen, UCHAR *bMask, char *szMask) { for (ULONG i = 0; i < dwLen; i++) { if (bCompare((UCHAR*)(dwdwAdd + i), bMask, szMask)) { return (dwdwAdd + i); } } return 0; } //恢复内存保护 ====================================================================================== void PageProtectOn() { __asm { mov eax, cr0 or eax, 10000h mov cr0, eax sti } } //去掉内存保护======================================================================================= void PageProtectOff() { __asm { cli mov eax, cr0 and eax, not 10000h mov cr0, eax } } BOOLEAN HookOrUnhookAPI( IN ULONG ulApiAddr, //被hook的API地址 IN ULONG ulFunctionAddr, //跳转到的函数地址 IN OUT UCHAR *ucApiHeader_5, //API的头5个字节, true:作为返回值使用.false:为传递参数 IN BOOLEAN bHookOrUnhook)//TRUE 为 hook ,FALSE 为Unhook { BOOLEAN bState = TRUE; ULONG ulJumpOffset = 0; UCHAR ucJumpCode_5[5]; if (bHookOrUnhook) { //参数检查 if (ulApiAddr == 0 || ulFunctionAddr == 0 || ucApiHeader_5 == NULL) { KdPrint(("hook参数错误,前3个参数不能为0!\n")); bState = FALSE; return bState; } //计算跳转偏移 ulJumpOffset = ulFunctionAddr - ulApiAddr - 5; ucJumpCode_5[0] = 0xe9; *(PULONG)(ucJumpCode_5 + 1) = ulJumpOffset; //保存api前5个字节 memcpy((PVOID)ucApiHeader_5, (PVOID)ulApiAddr, 5); //hook api PageProtectOff(); memcpy((PVOID)ulApiAddr, (PVOID)ucJumpCode_5, 5); PageProtectOn(); } else { if (ulApiAddr == 0 || ucApiHeader_5 == NULL) { KdPrint(("Unhook参数错误,参数不能为0!\n")); bState = FALSE; return bState; } PageProtectOff(); memcpy((PVOID)ulApiAddr, (PVOID)ucApiHeader_5, 5); PageProtectOn(); } return bState; } __declspec(naked) PMDL My_IoAllocateMDL( __in_opt PVOID VirtualAddress, __in ULONG Length, __in BOOLEAN SecondaryBuffer, __in BOOLEAN ChargeQuota, __inout_opt PIRP Irp OPTIONAL) { __asm { mov edi, edi push ebp mov ebp, esp push eax pushfd mov eax, gpv_KdEnteredDebugger cmp VirtualAddress, eax jne __JmpAPI_5 add VirtualAddress,0x40 __JmpAPI_5: popfd pop eax jmp gul_Jmp_IoAllocateMDL_5 } } //====================================================================================== BOOLEAN filter(void) { PEPROCESS curproc = (char*)PsGetCurrentProcess() + 0x16C; //KdPrint(("=================================================\n")); if (strstr(curproc, "TASLogin.exe") != 0) return TRUE; else return FALSE; } //建立一个自己的KdpStub用于进行过滤 void __declspec(naked) MyKdpStub(void) { //return ((KDPSTUB)KdpStubAddr)(TrapFrame, ExceptionFrame, ExceptionRecord, ContextRecord, PreviousMode, SecondChance); //如果检测到是TP的登录进程,在这个地方就返回KdpStub 174 XP 16C WIN7 __asm { pushad pushfd call filter cmp eax, 0 je __KdpTrap popfd popad mov edi, edi push ebp mov ebp, esp jmp gulJmp_KdpStubAddr_5 __KdpTrap : popfd popad jmp gul_KdpTrap_Address } } //返回值为 KiDebugRoutine 全局变量地址 //参数返回 KdpStub() 函数地址 ULONG GetPfnKiDebugRoutineAndKdpKdpStubAddress(PULONG pul_KdpStub) { UNICODE_STRING usKdDisableDebugger; ULONG ulKdDisableDebuggerAddr = 0; ULONG ulKdDisableDebuggerWithLockAddr = 0; ULONG ulKiDebugRoutineAddr = 0; /* nt!KdDisableDebugger: 83eea846 6a01 push 1 83eea848 e806ffffff call nt!KdDisableDebuggerWithLock(83eea753) 83eea84d c3 ret */ RtlInitUnicodeString(&usKdDisableDebugger, L"KdDisableDebugger"); ulKdDisableDebuggerAddr = (ULONG)MmGetSystemRoutineAddress(&usKdDisableDebugger); if (ulKdDisableDebuggerAddr != 0) { KdPrint(("KdDisableDebugger地址:%08x\r\n", ulKdDisableDebuggerAddr)); //获取 KdDisableDebuggerWithLock 函数地址>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ulKdDisableDebuggerAddr += 2; ulKdDisableDebuggerWithLockAddr = ulKdDisableDebuggerAddr + *(PULONG)(ulKdDisableDebuggerAddr + 1) + 5; KdPrint(("KdDisableDebuggerWithLock地址:%08x\r\n", ulKdDisableDebuggerWithLockAddr)); //83eea7ee 881d2c2df783 mov byte ptr[nt!KdDebuggerEnabled(83f72d2c)], bl //83eea7f4 c705bc79f783afa9ee83 mov dword ptr[nt!KiDebugRoutine(83f779bc)], offset nt!KdpStub(83eea9af) //83eea7fe 881dd402dfff mov byte ptr ds : [0FFDF02D4h], bl //83eea804 ff056061f483 inc dword ptr[nt!KdDisableCount(83f46160)] ulKiDebugRoutineAddr = FindPattern(ulKdDisableDebuggerWithLockAddr, 512, (PUCHAR)"\xc7\x05\xbc\x79\xf7\x83\xaf\xa9\xee\x83\x88\x1d", "xx????????xx"); if (ulKiDebugRoutineAddr != 0) { //获取 KdpStub() 地址 if (pul_KdpStub) { ULONG ulTemp; ulTemp = ulKiDebugRoutineAddr + 6; ulTemp = *(PULONG)ulTemp; *pul_KdpStub = ulTemp; KdPrint(("KdpStub()地址:%08x\r\n", *pul_KdpStub)); } //获取 KiDebugRoutine 地址 ulKiDebugRoutineAddr += 2; ulKiDebugRoutineAddr = *(PULONG)ulKiDebugRoutineAddr; KdPrint(("KiDebugRoutineAddr地址:%08x\r\n", ulKiDebugRoutineAddr)); } else { ulKiDebugRoutineAddr = 0; KdPrint(("搜索KiDebugRoutine地址失败\n")); } } else { KdPrint(("搜索KdDisableDebugger失败\n")); return 0; } return ulKiDebugRoutineAddr; } //====================================================================================== BOOLEAN ChangeKiDebugRoutineAddr(void) { ULONG ulJumpOffset; //第一步,获取 KiDebugRoutine 函数指针地址>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> //在这个函数内直接获取 KdpStub() 函数地址,在参数中返回给全局变量 gul_KiDebugRoutine_Address = GetPfnKiDebugRoutineAndKdpKdpStubAddress(&gul_KdpStub_Address); if (0 == gul_KiDebugRoutine_Address) { KdPrint(("搜索KiDebugRoutine地址失败\n")); return FALSE; } KdPrint(("KiDebugRoutine地址:%08x\r\n", gul_KiDebugRoutine_Address)); //第二步获取 KdpTrap()函数地址, //以调试模式启动系统时 KiDebugRoutine 函数指针刚好指向 KdpTrap()函数地址 gul_KdpTrap_Address = *(PULONG)gul_KiDebugRoutine_Address; KdPrint(("KdpTrap()地址:%08x\r\n", gul_KdpTrap_Address)); //第三步 HOOK KdpStub() 函数前五个字节,跳转到自己的过滤函数>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> /* nt!KdpStub: 83f1c9af 8bff mov edi,edi 83f1c9b1 55 push ebp 83f1c9b2 8bec mov ebp,esp 83f1c9b4 53 push ebx 83f1c9b5 56 push esi*/ gulJmp_KdpStubAddr_5 = gul_KdpStub_Address + 5; ulJumpOffset = (ULONG)MyKdpStub - gul_KdpStub_Address - 5; PageProtectOff(); *(PUCHAR)gul_KdpStub_Address = 0xe9; *(PULONG)(gul_KdpStub_Address + 1) = ulJumpOffset; //*(PVOID*)ulAddr = (PVOID)MyKdpStub; PageProtectOn(); return TRUE; } // HOOK IoAllocateMdl()处理 DWORD KdEnteredDebugger变量 BOOLEAN HookIoAllocateMdl(void) { BOOLEAN bStatus = TRUE; UNICODE_STRING usKdEnteredDebugger; //获取 KdEnteredDebugger 地址>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> RtlInitUnicodeString(&usKdEnteredDebugger, L"KdEnteredDebugger"); gpv_KdEnteredDebugger = (PVOID)MmGetSystemRoutineAddress(&usKdEnteredDebugger); if (gpv_KdEnteredDebugger != NULL) { KdPrint(("搜索KdEnteredDebugger地址:%08x\r\n", gpv_KdEnteredDebugger)); } else { KdPrint(("搜索KdEnteredDebugger失败\n")); bStatus = FALSE; return bStatus; } //hook IoAllocateMdl() gul_Jmp_IoAll

评论收藏

内容反馈