R3 Debug API

R3层调试API

https://learn.microsoft.com/zh-cn/windows/win32/debug/debugging-functions

CheckRemoteDebuggerPresent 确定是否正在调试指定的进程。
ContinueDebugEvent 使调试器能够继续之前报告调试事件的线程。
DebugActiveProcess 使调试器能够附加到活动进程并对其进行调试。
DebugActiveProcessStop 停止调试器调试指定的进程。
DebugBreak 导致当前进程中发生断点异常。
DebugBreakProcess 导致指定进程中发生断点异常。
DebugSetProcessKillOnExit 设置在调用线程退出时要执行的操作。
FatalExit 将执行控制转移到调试器。
FlushInstructionCache 刷新指定进程的指令缓存。
GetThreadContext 检索指定线程的上下文。
GetThreadSelectorEntry 检索指定选择符和线程的描述符表条目。
IsDebuggerPresent 确定用户模式调试器是否正在调试调用进程。
OutputDebugString 将字符串发送到调试器进行显示。
ReadProcessMemory 从指定进程中的内存区域读取数据。
SetThreadContext 设置指定线程的上下文。
WaitForDebugEvent 等待正在调试的进程中发生调试事件。
WaitForDebugEventEx 等待正在调试的进程中发生调试事件,并启用对 OutputDebugStringW 中的 Unicode 字符串的支持。
Wow64GetThreadContext 检索指定 WOW64 线程的上下文。
Wow64GetThreadSelectorEntry 检索指定选择器和 WOW64 线程的描述符表条目。
Wow64SetThreadContext 设置指定的 WOW64 线程的上下文。
WriteProcessMemory 将数据写入指定进程中的内存区域。

编写调试器

https://learn.microsoft.com/zh-cn/windows/win32/debug/writing-the-debugger-s-main-loop

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
BOOL DebugActiveProcess(DWORD dwProcessId)
{
  HANDLE hProcess; // rax MAPDST
  int status; // edi MAPDST

  status = DbgUiConnectToDbg();
  if ( status < 0 )
    goto ERROR_HANDLE;
  hProcess = ProcessIdToHandle(dwProcessId);
  if ( !hProcess )
    return 0;
  status = DbgUiDebugActiveProcess(hProcess);
  if ( status < 0 )
  {
    NtClose(hProcess);
ERROR_HANDLE:
    BaseSetLastNTError(status);
    return 0;
  }
  NtClose(hProcess);
  return 1;
}

HANDLE ProcessIdToHandle(DWORD dwProcessId)
{
  HANDLE ProcessId; // rax
  NTSTATUS status; // eax
  struct _CLIENT_ID ClientId; // [rsp+20h] [rbp-40h] BYREF
  struct _OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+30h] [rbp-30h] BYREF
  void *ProcessHandle; // [rsp+78h] [rbp+18h] MAPDST BYREF

  if ( dwProcessId == -1 )                      // INVALID_HANDLE_VALUE
    ProcessId = CsrGetProcessId();
  else
    ProcessId = (HANDLE)(int)dwProcessId;
  ProcessHandle = 0i64;
  ClientId.UniqueProcess = ProcessId;
  ClientId.UniqueThread = 0i64;
  memset(&ObjectAttributes.RootDirectory, 0, 20);
  ObjectAttributes.Length = 48;
  *(_OWORD *)&ObjectAttributes.SecurityDescriptor = 0i64;
  status = NtOpenProcess(&ProcessHandle, 0xC3Au, &ObjectAttributes, &ClientId);
  if ( status < 0 )
    BaseSetLastNTError(status);
  return ProcessHandle;
}

NTSTATUS DbgUiConnectToDbg()
{
  NTSTATUS status; // ecx
  OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+20h] [rbp-38h] BYREF

  status = 0;
  if ( !NtCurrentTeb()->DbgSsReserved[1] )
  {
    // InitializeObjectAttributes() Macro
    memset(&ObjectAttributes.RootDirectory, 0, 20);
    *(_OWORD *)&ObjectAttributes.SecurityDescriptor = 0i64;
    ObjectAttributes.Length = 48;
    //创建调试对象,句柄保存在Teb->DbgSsReserved[1]
    return NtCreateDebugObject(&NtCurrentTeb()->DbgSsReserved[1], 0x1F000Fu, &ObjectAttributes, 1u);
  }
  return status;
}

NTSTATUS DbgUiDebugActiveProcess(HANDLE Process)
{
  NTSTATUS status; // ebx

  status = NtDebugActiveProcess(Process, NtCurrentTeb()->DbgSsReserved[1]);
  if ( status >= 0 )
  {
    status = DbgUiIssueRemoteBreakin(Process);	//创建线程执行int 3
    if ( status < 0 )
      ZwRemoveProcessDebug(Process, NtCurrentTeb()->DbgSsReserved[1]);
  }
  return status;
}

NTSTATUS DbgUiIssueRemoteBreakin(HANDLE Process)
{
  NTSTATUS status; // ebx
  __int64 v3; // [rsp+30h] [rbp-48h]
  _CLIENT_ID v4; // [rsp+60h] [rbp-18h] BYREF
  HANDLE Handle; // [rsp+88h] [rbp+10h] BYREF
  
  status = RtlpCreateUserThreadEx(Process, 0i64, 2u, 0, 0i64, 0x4000ui64, v3, DbgUiRemoteBreakin, 0i64, &Handle, &v4);
  if ( status >= 0 )
    NtClose(Handle);
  return status;
}
逆向
#C++ #调试
R3 Debug API
https://rogxo.github.io/2023/03/26/2023-03-26-R3 Debug API/
作者
Rogxo
发布于
2023年3月26日
许可协议
CC BY-NC-SA 4.0