我在 Windows 内部进行了一些探索,以进行一般的教育,并且我试图了解图像文件执行选项背后的机制。具体来说,我为 calc.exe 设置了一个调试器条目,带有 "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoLogo -NoProfile -NoExit -Command "& { start-process -filepath $args[0] -argumentlist $args[1..($args.Length - 1)] -nonewwindow -wait}"作为有效载荷。这导致递归,启动了许多 powershell 实例,考虑到我正在拦截他们对 calc.exe 的调用,这是有道理的。 .
不过,这引出了一个问题:普通调试器如何在不引起这种递归行为的情况下启动被测程序?
最佳答案
无论如何,这是一个关于 Windows 内部结构的好问题,但我现在对它感兴趣的原因是它已成为我的一个实际问题。在我从事有偿工作的地方是三台计算机,每台计算机都有不同的 Windows 版本甚至不同的调试器,使用这种 IFEO 技巧会导致调试器本身调试,显然陷入了困扰 OP 的同一个循环中。
调试器通常如何避免这种循环?好吧,他们自己没有。 Windows 为他们避免了它。
但让我们先看看循环性。 PowerShell concoctions 对简单的演示几乎没有帮助,而且 calc.exe 也不再像以前那样了。让我们改为设置 Debugger notepad.exe 的值至c:\windows\system32\cmd.exe /k . Windows 会将此解释为试图运行 notepad.exe通常应该运行 c:\windows\system32\cmd.exe /k notepad.exe反而。 CMD 会将此解释为运行 notepad.exe 的意思。闲逛。但是 notepad.exe 的执行也是如此将变成c:\windows\system32\cmd.exe /k notepad.exe , 等等。任务管理器将很快向您显示数百个 cmd.exe 实例。 (好消息是它们都在一个控制台上并且可以一起被杀死。)
OP 的问题是为什么 CMD 及其 /k (或 /c )用于在 Debugger 值中运行子循环的开关,但例如 WinDbg 不会。
从某种意义上说,答案可以归结为未记录结构中的一位,PS_CREATE_INFO。 ,在 NtCreateUserProcess 的用户模式和内核模式之间交换功能。这种结构在某些圈子里已经变得相当有名,但他们似乎从来没有说过如何。我认为该结构可以追溯到 Windows Vista,但直到 Windows 8 才从 Microsoft 的公共(public)符号文件中得知,即使在那时也不是来自内核,而是来自 Internet Explorer 组件 URLMON.DLL 之类的东西。
无论如何,以 PS_CREATE_INFO 的现代形式结构,偏移量 0x08(32 位)或 0x10(64 位)处的 0x04 位控制内核是否检查 Debugger 值。符号文件告诉我们这个位被微软称为 IFEOSkipDebugger .如果该位被清除并且有一个 Debugger 值,那么 NtCreateUserProcess失败。其他反馈通过PS_CREATE_INFO结构告诉 KERNELBASE , 用于处理 CreateProcessInternalW , 自己查看 Debugger 值并调用 NtCreateUserProcess再次,但(大概)一些其他可执行文件和命令行。
相反,当设置该位时,内核不关心调试器值和NtCreateUserProcess。可以成功。该位通常如何设置是由 KERNELBASE因为调用者不仅要求创建一个进程,而且还特别要求成为新进程的调试器,即设置了 DEBUG_PROCESS或 DEBUG_ONLY_THIS_PROCESS在进程创建标志中。这就是我所说的调试器自己不做任何事情来避免循环的意思。 Windows 为他们这样做只是因为他们想要调试可执行文件。
将 Debugger 值视为可执行 X 的图像文件执行选项的一种方法是,该值的存在意味着 X 只能在调试器下执行,并且该值的内容可能会告诉您如何执行此操作。正如黑客早就注意到的那样,内核的程序员早就注意到了,内容不需要指定调试器,并且可以调整值,以便尝试运行 X 而不是运行 Y。较少注意到的是 Y 将无法除非 Y 调试 X(或禁用 Debugger 值),否则运行 X。同样较少注意到的是,并非所有运行 X 的尝试都会运行 Y:调试器尝试将 X 作为被调试对象运行不会被转移。
关于debugging - 调试器在启动他们的被调试者时如何绕过图像文件执行选项?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54453249/