View Full Version : tracer or Writing tracer without using Windows Debug API
BOOLEAN
DbgkForwardException(
IN PEXCEPTION_RECORD ExceptionRecord,
IN BOOLEAN DebugException,
IN BOOLEAN SecondChance
)
/*++
Routine Description:
This function is called forward an exception to the calling process's
debug or subsystem exception port.
Arguments:
ExceptionRecord - Supplies a pointer to an exception record.
DebugException - Supplies a boolean variable that specifies whether
this exception is to be forwarded to the process's
DebugPort(TRUE), or to its ExceptionPort(FALSE).
Return Value:
TRUE - The process has a DebugPort or an ExceptionPort, and the reply
received from the port indicated that the exception was handled.
FALSE - The process either does not have a DebugPort or
ExceptionPort, or the process has a port, but the reply received
from the port indicated that the exception was not handled.
--*/
{
PEPROCESS Process;
PVOID Port;
DBGKM_APIMSG m;
PDBGKM_EXCEPTION args;
NTSTATUS st;
BOOLEAN LpcPort;
PAGED_CODE();
args = &m.u.Exception;
//
// Initialize the debug LPC message with default information.
//
DBGKM_FORMAT_API_MSG(m,DbgKmExceptionApi,sizeof(*args));
//
// Get the address of the destination LPC port.
//
Process = PsGetCurrentProcess();
if (DebugException) {
if (PsGetCurrentThread()->CrossThreadFlags&PS_CROSS_THREAD_FLAGS_HIDEFROMDBG) {
Port = NULL;
} else {
Port = Process->DebugPort;
}
LpcPort = FALSE;
} else {
Port = Process->ExceptionPort;
m.h.u2.ZeroInit = LPC_EXCEPTION;
LpcPort = TRUE;
}
//
// If the destination LPC port address is NULL, then return FALSE.
//
if (Port == NULL) {
return FALSE;
}
//
// Fill in the remainder of the debug LPC message.
//
args->ExceptionRecord = *ExceptionRecord;
args->FirstChance = !SecondChance;
//
// Send the debug message to the destination LPC port.
//
if (LpcPort) {
st = DbgkpSendApiMessageLpc(&m,Port,DebugException);
} else {
st = DbgkpSendApiMessage(&m,DebugException);
}
//
// If the send was not successful, then return a FALSE indicating that
// the port did not handle the exception. Otherwise, if the debug port
// is specified, then look at the return status in the message.
//
if (!NT_SUCCESS(st) ||
((DebugException) &&
(m.ReturnedStatus == DBG_EXCEPTION_NOT_HANDLED || !NT_SUCCESS(m.ReturnedStatus)))) {
return FALSE;
} else {
return TRUE;
}
}
CsrCreateProcess:
...
/* Set the Exception port to us */
Status = NtSetInformationProcess(hProcess, ProcessExceptionPort, &CsrApiPort, sizeof(HANDLE));
| Отладка посредством порта ислючений. o При создании процесса выполняется нотификация csrss, поток(CsrApiRequestThread()) обрабатывающий запро сы с сервисного порта(\ApiPort) вызывает CsrCreateProcess(), в этой функции помимо иной работы устанав ливается порт ислючений(ProcessExceptionPort). Установка порта может быть выполнена однократно, если у становить порт передав его описатель в NtCreateProcess, то предыдущая функция вернёт STATUS_PORT_ALREA DY_SET, сервер возвратит STATUS_NO_MEMORY. Далее CreateProcess() завершится с ошибкой. Если не выполня ть нотификацию, то при инициализации процесса при подключении к серверу из процедуры инициализации Ker nel32(в CsrpConnectToServer() -> NtSecureConnectPort) будет возвращена ошибка(CsrApiHandleConnectionRe quest() не найдёт описатель потока в базе, который добавляется туда при инициализации и сервер отклони т запрос на соединение возвратив STATUS_PORT_CONNECTION_REFUSED), загрузчик выведет сообщение и сгенер ирует исключение. o Не целевые(LPC_EXCEPTION) сообщения следует передавать на сервер. Эти проблемы решаются захватом CsrApiRequestThread(). Это решит предыдущие проблемы и позволит выполнять глобальную обработку сообщений. Управлять надстройкой можно также через сервисный порт. |
Debugging through the port islyucheny. o When you create a notification process is performed csrss, stream (CsrApiRequestThread ()) handle the forbidden raw from the service port (\ ApiPort) is CsrCreateProcess (), this function in addition to other work establishes logger port islyucheny (ProcessExceptionPort). Port setting can be done once, if becoming the port gave its descriptor NtCreateProcess, then the previous function returns STATUS_PORT_ALREA DY_SET, the server will return STATUS_NO_MEMORY. Next CreateProcess () fails. If you do not Th notification, then the initialization process when connecting to the server from an initialization procedure, Ker nel32 (in CsrpConnectToServer () -> NtSecureConnectPort) will return an error (CsrApiHandleConnectionRe quest () will not handle the flow in the database, which is added back during the initialization and the server rejected m connection request returning STATUS_PORT_CONNECTION_REFUSED), the loader will print a message and Generate iruet exception. o Do not trust (LPC_EXCEPTION) messages should be transmitted to the server. These problems are solved capture CsrApiRequestThread (). This will solve the previous problems and will allow global processing of messages. You can also add and manage through the service port. |
| Also a rebuttal to 'The exception port is not so easily set'...NtSystemDebugControl from userland couldn't do it? |