-
-
[求助]使用CreateProcess带lpApplicationName和lpCommandLine参数创建的进程如何调试?
-
发表于: 2013-8-20 12:00
-
请问各大虾有木有遇到过一下问题:
父进程通过CreateProcess函数创建子进程,有lpApplicationName和lpCommandLine参数的情况下,ollydbg提示无法定位文件,有办法吗?
先在注册表设置自动启动调试器
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options建debugger=C:\soft\OllyICE_1.10\OllyICE.exe
详细操作,参考http://msdn.microsoft.com/zh-cn/library/vstudio/a329t4ed.aspx 设置的
父进程代码如下:
#include<windows.h>
#include<stdio.h>
main()
{
PROCESS_INFORMATION x;
STARTUPINFO startup_info;
memset((char *)&startup_info, 0, sizeof(STARTUPINFO));
startup_info.cb = sizeof(STARTUPINFO);
startup_info.dwFlags = STARTF_USESTDHANDLES;
startup_info.hStdInput = GetStdHandle(STD_INPUT_HANDLE);
int a= CreateProcess("showcmd.exe","abc",0,0,0,0,0,0,&startup_info,&x);//没有abc参数的时候可以调试showcmd.exe进程,有的时候要怎样调试呢?
LPVOID lpMsgBuf;
FormatMessage(
FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM,
NULL,
GetLastError(),
MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
(LPTSTR) &lpMsgBuf,
0,
NULL
);
printf("%s",lpMsgBuf);
}
运行父进程后,ollydbg是启动了,但是有一下提示问题,怎么解决呢?
父进程通过CreateProcess函数创建子进程,有lpApplicationName和lpCommandLine参数的情况下,ollydbg提示无法定位文件,有办法吗?
先在注册表设置自动启动调试器
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options建debugger=C:\soft\OllyICE_1.10\OllyICE.exe
详细操作,参考http://msdn.microsoft.com/zh-cn/library/vstudio/a329t4ed.aspx 设置的
父进程代码如下:
#include<windows.h>
#include<stdio.h>
main()
{
PROCESS_INFORMATION x;
STARTUPINFO startup_info;
memset((char *)&startup_info, 0, sizeof(STARTUPINFO));
startup_info.cb = sizeof(STARTUPINFO);
startup_info.dwFlags = STARTF_USESTDHANDLES;
startup_info.hStdInput = GetStdHandle(STD_INPUT_HANDLE);
int a= CreateProcess("showcmd.exe","abc",0,0,0,0,0,0,&startup_info,&x);//没有abc参数的时候可以调试showcmd.exe进程,有的时候要怎样调试呢?
LPVOID lpMsgBuf;
FormatMessage(
FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM,
NULL,
GetLastError(),
MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
(LPTSTR) &lpMsgBuf,
0,
NULL
);
printf("%s",lpMsgBuf);
}
运行父进程后,ollydbg是启动了,但是有一下提示问题,怎么解决呢?
|
|
|---|---|
|
|
这种方法不支持带参数的 CreateProcess, 只适合不带参数的 CreateProcess.
可以换种方法来调试 * 用OD实例1载入parent.exe, 走到CreateProcess之前, 将参数记下来.  * 另开一个OD实例2, 带参数启动子进程  * 用OD实例1跳过parent.exe的CreateProcess, 注意堆栈平衡之类的操作,使主程序能继续往下跑.  这样就OK了, 可以完全模拟主进程启动带参数的子进程的调试. 比MS提供的方法麻烦点, 不过MS的方法不支持命令行参数. 在网上找到的资料, 都没有提及带参数启动子进程的细节. |
|
|
 望大牛能指点一下
|
|
|
谢谢指导,但小弟模仿你的方法尝试,子进程showcmd.exe 里面GetCommandLine()返回的结果是不同的。
通过CreateProcess函数调用,子进程GetCommandLine()返回的是该函数第二个参数的传入值  通过OD打开的是整个命令行   望大虾再帮忙研究一下 |
|
|
自己将参数拆开吧, 将参数指针指到 "abc" 上.
为了完全模拟主进程CreateProcess的结果, 需要在OD实例2中, 将命令行参数指针,手工改改,指到具体的命令行参数上. 被调试的程序一般都不是我们写的, 为了模拟出和主进程一样的参数给子进程用, 需要找到子进程用命令行参数的地方,手工将参数指针改掉. 例如: 命令行参数 修改前  命令行参数 修改后  这么搞肯定要繁琐一些, 多有不便. 希望路过的同学能有更好的方法调试"主进程建立带参数的子进程". |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
