Blog. Just Blog

Отладка приложений с помощью Process Monitor

Версия для печати Добавить в Избранное Отправить на E-Mail 17.12.2016 | Категория: Образ мышления: Assembler | Автор: ManHunter
Отладка приложений с помощью Process Monitor
Отладка приложений с помощью Process Monitor

Если вы разработчик программного обеспечения под Windows, вам наверняка знакома утилита Process Monitor от Марка Руссиновича. С ее помощью можно легко отследить, к каким файлам или ключам реестра обращается приложение, просмотреть параметры ввода и вывода, работу с процессами и многое другое. Но мало кто знает, что Process Monitor можно также использовать в качестве отладочного инструмента, который позволяет разработчикам создавать события вывода отладчика и добавлять их в поток событий. Например, можно выводить текстовые сообщения прямо в трассировку при вызове и завершении функций, чтобы сопоставить их с другими перехватываемыми событиями.

Любые процессы, даже работающие с низкими привилегиями, могут передать через драйвер Process Monitor юникодную строку длиной до 2048 знаков.

Настройка фильтра
Настройка фильтра

В настройках фильтров надо добавить условие "Operation", связку "is" и значение "Debug Output Profiling". Детализация фильтров по другим параметрам - на ваше усмотрение.

Включение Profiling Events
Включение Profiling Events

Для просмотра событий вывода отладчика надо активировать переключатель "Show Profiling Events" ("Показать события трассировки") на панели инструментов. Теперь Process Monitor готов к приему отладочных сообщений из нашей программы.

Теперь переходим непосредственно к кодингу. Пример взаимодействия с Process Monitor приведен в книге Марка Руссиновича и Аарона Маргозиса "Утилиты Sysinternals. Справочник администратора" (2012 год). Оригинал написан на C, я портировал код на FASM. Чтобы использовать такую отладку в своих программах, я собрал код в такую независимую функцию.
Code (Assembler) : Убрать нумерацию
  1. ;-------------------------------------------------------------
  2. ; Вывод диагностических сообщений из приложения
  3. ; с помощью Process Monitor
  4. ;-------------------------------------------------------------
  5. ; Параметры:
  6. ;    wMessage - указатель на строку отладочного сообщения
  7. ;-------------------------------------------------------------
  8. proc pm_debug wMessage:DWORD
  9.         locals
  10.                 cbSize dd ?
  11.         endl
  12.  
  13.         FILE_DEVICE_PROCMON_LOG = 0x00009535
  14.         FILE_WRITE_ACCESS       = 0x0002
  15.         FUNCTION                = 0x81
  16.         METHOD_BUFFERED         = 0
  17.  
  18.         IOCTL_EXTERNAL_LOG_DEBUGOUT = (FILE_DEVICE_PROCMON_LOG shl 16) +\
  19.           (FILE_WRITE_ACCESS shl 14) + (FUNCTION shl 2) + METHOD_BUFFERED
  20.  
  21.         pusha
  22.  
  23.         ; Открыть драйвер Process Monitor
  24.         invoke  CreateFile,.szProcmonDevice,GENERIC_READ+GENERIC_WRITE,\
  25.                 FILE_SHARE_READ+FILE_SHARE_WRITE+FILE_SHARE_DELETE,\
  26.                 NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0
  27.  
  28.         cmp     eax,INVALID_HANDLE_VALUE
  29.         je      @f
  30.  
  31.         mov     ebx,eax
  32.  
  33.         ; Длина сообщения
  34.         invoke  lstrlen,[wMessage]
  35.         shl     eax,1
  36.         lea     esi,[cbSize]
  37.         ; Отправить сообщение драйверу Process Monitor
  38.         invoke  DeviceIoControl,ebx,IOCTL_EXTERNAL_LOG_DEBUGOUT,\
  39.                 [wMessage],eax,NULL,0,esi,NULL
  40.  
  41.         ; Закрыть хэндл драйвера
  42.         invoke  CloseHandle,ebx
  43. @@:
  44.         ; Дополнительно отправить строку сообщения в отладчик
  45.         invoke  OutputDebugString,[wMessage]
  46.  
  47.         popa
  48.         ret
  49.  
  50. .szProcmonDevice du '\\.\Global\ProcmonDebugLogger',0
  51.  
  52. endp
Для большей универсальности я дополнил функцию выводом отладочных сообщений через OutputDebugString. Это на тот случай, если придется запускать программу под OllyDbg.

В приложении пример программы с исходным текстом, которая получает текстовую строку и передает ее в Process Monitor и отладчик.

Пример программы с исходным текстом (FASM)Пример программы с исходным текстом (FASM)

Process.Monitor.Debugging.Demo.zip (2,795 bytes)


Поделиться ссылкой ВКонтакте
Просмотров: 3922 | Комментариев: 2

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
ManHunter (01.01.2017 в 10:59):
Отслеживание файлов и реестра часто помогает при отлове всяких триальных меток. А для сбора вызовов апи есть специальные инструменты и процмонитор к ним не относится.
brute (01.01.2017 в 09:26):
Process Monitor,наверное, крутая вещь (с драйвером уровня ядра)!! Только вот приклад его остался не раскрыт. Справочник администратора прочитал, в нем ничего(мало) не описано про фильты/события - это юзеры уже должны сами знать. Понятно, что он заменяет filemoon+regmoon..

"Process Monitor..позволяет разработчикам".. А для реверса (чужих программ) как его использовать? Может он, например, работать в качестве pin-инструмента или api-логера, отслеживать копирование и сравнение строк, выделение памяти, собрать лог сисколов:) и т.п.? Поможет ли при исследовании этого?:
http://kitrap08.blogspot.ru/20...crackme.html

п.с. имхо, полезной была бы ссылка на "исходные материалы", исползованные для статьи. Так как некоторым приятнее разбираться в сях, нежели в фасм.. https://github.com/Wintellect/...aster/Source

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (350), COM (40), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (71), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,350 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Международный день секретаря
Международный день солидарности молодежи
Всемирный день защиты лабораторных животных
Всемирная неделя иммунизации
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.11 сек. / MySQL: 2 (0.0079 сек.) / Память: 4.5 Mb
Наверх