内存断点与硬件断点

Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

内存断点与硬件断点

一、内存断点

　　内存断点的本质是修改页属性，触发页异常，走0E号中断。

　　1. 设置内存断点：

　　　　页属性如下：

　　　　#define PAGE_NOACCESS           0x01    
　　　　#define PAGE_READONLY           0x02    
　　　　#define PAGE_READWRITE          0x04    
　　　　#define PAGE_WRITECOPY          0x08    
　　　　#define PAGE_EXECUTE            0x10    
　　　　#define PAGE_EXECUTE_READ       0x20    
　　　　#define PAGE_EXECUTE_READWRITE  0x40    
　　　　#define PAGE_EXECUTE_WRITECOPY  0x80

　　　　我们调用 VirutalProtectEx 函数来修改页属性。

　　　　比如，当我们设置内存访问断点，我们将相应的地址所在的页设置为 PAGE_NOACCESS。

　　　　　　 VirtualProtectEx(handle, (PVOID)debugAddress, 1, PAGE_NOACCESS, &oldProtote) 

　　　　之后，程序访问该地址会触发 ACCESS_VIOLATION(c0000005)错误，会走0E号中断，然后包装加入到 DEBUG_OBJECT.EventLink，通知调试器有事件需要处理。

　　2. 设置内存断点案例：

    DWORD debugAddress = _ttoi(debugStrAddress);

    if (VirtualProtectEx(handle, (PVOID)debugAddress, 1, PAGE_NOACCESS, &oldProtote))
    {
        setText(this->m_edlog, L"内存访问断点
");
    }

　　3. 内存断点恢复案例

DWORD memoryHandler(CdebugToolsDlg *pdlg, DEBUG_EVENT dbgEvent)
{
    
    //恢复内存断点
    HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dbgEvent.dwProcessId);
    if (handle == NULL)
    {
        return -1;
    }

    auto er = dbgEvent.u.Exception.ExceptionRecord;
    if (er.ExceptionInformation[0] == 0)
    {
        CString str;
        str.Format(L"读断点被触发%X,er.ExceptionAddress = %X", er.ExceptionInformation[1], er.ExceptionAddress);
        setText(pdlg->m_edlog, str);
    }

    DWORD dwProtect =0;
    BOOLEAN isCommand = 0;

    isCommand = VirtualProtectEx(handle, (PVOID)er.ExceptionInformation[1], 1, oldProtote, &dwProtect);
    
    handleInt3 = TRUE;
    while (isCommand && handleInt3)
    {
        Sleep(1);
    }
    
    handleInt3 = FALSE;
    return 0;
}

　　4. 注意事项

　　　　1）我们是对一个地址(字节，字或双字)下断点，但实际上操作的是一个页。因此，如果我们要详细处理，将触发页异常时，我们必须判断是否是我们的目标地址，如果不是，则从调试器角度自然放行，不通知使用者。

　　　　2）在修复好页异常之后，我们在重新设置页异常，以便于下一次断下。

二、硬件断点

　　硬件断点是基于寄存器 Dr0~Dr7 实现的。

　　Dr寄存器在三环没有读取和修改权限(mov eax,dr3)，只能通过CONTEXT来读取，或填写CONTEXT然后传递到零环来修改。

　　关于硬件断点，详情可以查看 在Intel手册 Volume3 Chapter 17.2 Debug Registers

　　1. DR寄存器的基本布局

　　　　如下图：Dr0~3寄存器存储四个硬件断点的地址，Dr4~5为保留寄存器，Dr6 状态寄存器，Dr7 控制寄存器。

　　　　我们如果使用DR1作为硬件断点，必须在Dr7设置好相应的标志，否则无法使用。

　　　　

　　　　　　1）DR6寄存器介绍

　　　　　　　　

 　　　　　　2）DR7寄存器介绍

　　　　　　　　

　　　　2. 硬件断点的设置

    DWORD debugAddress = _ttoi(debugStrAddress);

    
    HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, TRUE, hThreadId);
    if (hThread == NULL)
    {
        return;
    }
    
    SuspendThread(hThread);

    CONTEXT context = {0};
    context.ContextFlags = CONTEXT_ALL;
    GetThreadContext(hThread, &context);
    
    context.Dr0 = debugAddress;
    context.Dr7 |= 0x3fff1;
    SetThreadContext(hThread, &context);
    
    ResumeThread(hThread);

    setText(this->m_edlog, L"硬件访问断点
");

　　　　3. 硬件断点的恢复

    BOOLEAN isHard = context.Dr6 & 0xf;
    if (isHard)
    {
        //下次在断下
        context.Dr7 |= 1;
        CString str;
        str.Format(L"硬件中断被触发%X,er.ExceptionAddress = %X", er.ExceptionInformation[1], er.ExceptionAddress);
        setText(pdlg->m_edlog, str);
    }