看不懂哈

先顶了来
不过我也基本上不知所云

可否再解释详细点~？

不懂

喜欢delphi啊！

ft，既然看不懂那就那就详细注释下。
记得要大体了解下deubg api的用法和使用流程先.

procedure CreateVictimProcess(Path: String);
const
  Nop: PChar = Chr($90) + Chr($90) + Chr($90);
var
  DbgEvent: TDebugEvent;
  DbgParam: DWORD;  //ContinueDebugEvent用,标志如何处理调试消息
  OldPrt, NewPrt: DWORD;
  pPatch: PByte;
  PgMin, PgMax: DWORD;
  MemInfo: TMemoryBasicInformation;
  WExpAddr: DWORD;
  DbgContext: TContext;
  rm: Boolean;
  hThread: DWORD;
begin   
  ZeroMemory(@si, sizeof(STARTUPINFO));
  si.cb := sizeof(STARTUPINFO);
  if not CreateProcess(PChar(Path), nil, nil, nil, False, CREATE_SUSPENDED or CREATE_DEFAULT_ERROR_MODE, nil,
                       PChar(MyExtractFilePath(Path)), si, pi) then
  begin
    MessageBox(0, 'CreateProcess failed! ', 'Error!', 0);
    exit;
  end;
  //建立目标进程
  ResumeThread(pi.hThread);
  //恢复进程执行.其实CreateProcess时不加CREATE_SUSPENDED标志就可以省掉这句
  if WaitForInputIdle(pi.hProcess, INFINITE) <> 0 then
  begin
    MessageBox(0, 'WaitForInputIdle failed! ', 'Error!', 0);
    exit;
  end;
  //等待目标进程完全运行至其开始等待用户输入.
  //因为目标程序是加过壳的,壳的部分会检查调试器,所以等到壳运行结束在去debug它.
  if not DebugActiveProcess(pi.dwProcessId) then
  begin
    MessageBox(0, 'DebugActiveProcess failed! ', 'Error!', 0);
    exit;
  end;
  //挂上目标程序
  if VirtualQueryEx(pi.hProcess, Pointer($9c66BC), MemInfo, SizeOf(MemInfo)) = 0 then
  begin
    MessageBox(0, 'VirtualQueryEx failed! ', 'Error!', 0);
    exit;
  end;
  //查询需要设内存断点的地址($9c66BC,也就是0x9c66BC,后面简称addr)所在page的情况
  PgMin := DWORD(MemInfo.BaseAddress);
  pgMax := PgMin + MemInfo.RegionSize;
  //得到addr所在的page的始末地址.
  {因为VirtualProtect会将addr所在整个Page设为不可写属性(见VirtualProtect的API说明)，所有写Page的操作,即使不是写我们感兴趣(但位于那个page上)的地址的操作,都会因为将addr设为不可写属性而产生Access violation.所以这里要保存整个Page的地址范围，以便后面判断AV是不是因写addr而产生的}  
  if not VirtualProtectEx(pi.hProcess, Pointer($9c66BC), 1, PAGE_EXECUTE_READ, @OldPrt) then
  begin
    MessageBox(0, 'VirtualProtectEx failed! ', 'Error!', 0);
    exit;
  end;
  {改写addr属性为不可写.这里会将addr所在的整个Page设为不可写属性}
  rm := false;  {标志是不是因处理AV设置的单步中断产生的中断}
  while WaitForDebugEvent(DbgEvent, INFINITE) do  //等待调试消息
  begin
    DbgParam := DBG_CONTINUE;  //默认处理调试消息
    case DbgEvent.dwDebugEventCode of
      EXCEPTION_DEBUG_EVENT:
      begin
        if DbgEvent.Exception.ExceptionRecord.ExceptionCode <> EXCEPTION_BREAKPOINT then
        //判断是不是int 3产生的中断.因为DebugActiveProcess挂上程序后会向debuger发出一个EXCEPTION_BREAKPOINT调试消息,这里忽略它
          case DbgEvent.Exception.ExceptionRecord.ExceptionCode of  //判断异常类型
            EXCEPTION_ACCESS_VIOLATION: {AV异常}
            begin
              DbgParam := DBG_EXCEPTION_NOT_HANDLED; //表示由目标程序的SEH处理异常
              if DbgEvent.Exception.ExceptionRecord.ExceptionInformation[0] = 1 then
              begin  {是写操作产生的AV}
                WExpAddr := DbgEvent.Exception.ExceptionRecord.ExceptionInformation[1]; {WExpAddr =写操作的目标地址}
                if (WExpAddr >= PgMin) and (WExpAddr <= PgMax) then {WExpAddr在addr所在Page上}
                begin
                  DbgParam := DBG_CONTINUE;//表示我们来处理异常,让目标程序从发生异常处继续执行.
                  if(WExpAddr <> $9c66BC) then {WExpAddr不是写addr,要允许目标程序写操作}
                  begin
                    VirtualProtectEx(pi.hProcess, Pointer($9c66BC), 1, OldPrt, @NewPrt);//恢复addr所在page为原来的属性(可写)

                    DbgContext.ContextFlags := CONTEXT_CONTROL;
                    hThread := OpenThread(THREAD_ALL_ACCESS, false, DbgEvent.dwThreadId);
                    //由Thread Id得到Thread handle
                    GetThreadContext(hThread, DbgContext);
                    //得到thread的Context,设置单步执行标志,让写操作完成后发生单步中断,以便将addr重新设为不可写,拦截下一次写操作.
                    DbgContext.EFlags := DbgContext.EFlags or $100; {设单步标志}
                    SetThreadContext(hThread, DbgContext);
                    //设置thread的Context

                    rm := true; {标志，表明是我们处理AV而产生的单步中断}
                  end
                  else  //{WExpAddr是写addr,进行Patch}
                  begin
                    pPatch := DbgEvent.Exception.ExceptionRecord.ExceptionAddress;
                    //写地址操作语句地址
                    VirtualProtectEx(pi.hProcess, pPatch, 3, PAGE_READWRITE, @NewPrt);
                    //设操作语句地址为可写
                    WriteProcessMemory(pi.hProcess, pPatch, Nop, 3, nil);
                    //nop掉写地址语句
                    VirtualProtectEx(pi.hProcess, pPatch, 3, NewPrt, @NewPrt);
                    //恢复语句地址属性
                  end;
                end;
              end;
            end;{AV异常处理完毕}
            EXCEPTION_SINGLE_STEP: {发生单步中断}
            begin
              if rm then {由于处理AV产生的单步中断.}
              begin
                rm := false;
               //重置标志
                VirtualProtectEx(pi.hProcess, Pointer($9c66BC), 1, PAGE_EXECUTE_READ, @NewPrt);
               //恢复Page为不可写属性,以便拦截下次写操作
              end;
            end;
            else//不是AV中断或单步中断,由目标程序的SEH处理异常
              DbgParam := DBG_EXCEPTION_NOT_HANDLED;
          end;
      end;
      EXIT_PROCESS_DEBUG_EVENT:
      begin
        ContinueDebugEvent(DbgEvent.dwProcessId, DbgEvent.dwThreadId, DbgParam);
        //目标程序推出,loader使命结束,退出
        Break;
      end;
    end;
    ContinueDebugEvent(DbgEvent.dwProcessId, DbgEvent.dwThreadId, DbgParam);
  end;
end;

good

RING3调试器的雏形

先顶一下。
我也在写一个类似的东西，楼主如果有兴趣，请加我QQ37256844，我们聊聊。
我现在遇到的问题是，我的EXCEPTION_ACCESS_VIOLATION（C0000005）都是从80000000以上的地址抛出来的，根本没有办法处理。查了一下应该是int 2E入口的参数不对引起的，但我不清楚是什么地方引起了这个问题。

这个帖子好，是我想了很久但是却没有实现的东西

好贴子 感谢分享 楼主辛苦了