windbg调试子进程

windbg 调试子进程

学习过程中遇到了一个从前未调试过的情景：我正在调试的进程通过CreateProcessW创建了一个子进程，我需要去了解子进程中发生的行为。 那么怎么去调试呢？OD 就有点麻烦了，要patch cc然后 用JIT模式的OD去调试。所以我想起了我的好伙伴windbg! 我想微软爸爸的调试器deal with这个问题应该非常的简单。事实证明的确如此

0x01 写一个用来调试的Demo

Father process

#include<Windows.h>
#include<stdio.h>

int main()
{
	printf("Ready to CreateProcess!\n");
	STARTUPINFO si = { 0 };
	si.cb = sizeof(si);
	PROCESS_INFORMATION pi;
	si.wShowWindow = TRUE;//此成员设为TRUE的话则显示新建进程的主窗口
	BOOL bRet = CreateProcess(
		L"D:\\vs2015\\CreateProcess\\Debug\\SubProcess.exe",//在此指定可执行文件的文件名
		NULL,//命令行参数
		NULL,//默认进程安全性
		NULL,//默认进程安全性
		FALSE,//指定当前进程内句柄不可以被子进程继承
		0,//
		NULL,//使用本进程的环境变量
		NULL,//使用本进程的驱动器和目录
		&si,
		&pi);
	if (bRet)
	{
		//不使用的句柄最好关掉
		CloseHandle(pi.hThread);
		CloseHandle(pi.hProcess);
		printf("新进程的ID号：%d\n", pi.dwProcessId);
		printf("新进程的主线程ID号：%d\n", pi.dwThreadId);
    }
	return 0;
}

Child process

#include<Windows.h>
#include<stdio.h>

int main()
{
	printf("this is subprocess!\n");
	return 0;
}

0x02 方法

1. ctrl + e 按下图操作：选择好父进程，然后把下面那个Debug child process also 勾上

1. 输入命令.childdbg 如下图：

1. 然后输入uf main 找到调用CreateProcessW的地方 找到地址，下断点(bp命令)。

   小技巧，windbg的鼠标右键有复制和粘贴功能哦！一般人晓不得。

1. 输入g命令运行到下断点处，然后输入p命令执行掉CreatePRocessW函数。然后再用|*命令列出当前所有进程。可以看到SubProcess.exe已经创建好了

1. 接着使用命令| 1 s 切换到子进程中。（看id前面那个序号为1哦)，然后再uf main 你可以发现你已经进入了子进程中了！

0x03 总结

我不管 windbg是世界上最好的语言。。(emmm，好像走错地方了)