DbgPrint 函数流程分析
前言
Windows 下编写内核驱动时经常用到 DbgPrint 函数输出一些调试信息,用来辅助调试。当正在用 WinDbg 内核调试时,调试信息会输出到 WinDbg 中。或者利用一些辅助工具也能看到输出的调试信息,比如 Sysinternals公司的 DebugView 工具。本文分析了 Vista 系统上 DbgPrint 系列函数的执行流程,并揭示了 DebugView 工具的实现原理。
DbgPrint函数流程
先看一下 WDK中 DbgPrint 函数的原型:
ULONG
DbgPrint (
IN PCHAR Format, ...
);
和 printf 的参数一样,可以格式化字符串。
.text:0049E123; ULONG DbgPrint(PCH Format,...)
.text:0049E123 public_DbgPrint
.text:0049E123 _DbgPrint proc near ; CODE XREF:sub_4046B2+11↑p.text:0049E123
.text:0049E123Format =dword ptr 8
.text:0049E123arglist =byte ptr 0Ch
.text:0049E123
.text:0049E123 mov edi, edi
.text:0049E125 push ebp
.text:0049E126 mov ebp, esp
.text:0049E128 push TRUE
.text:0049E12A lea eax, [ebp+arglist]
.text:0049E12D push eax
.text:0049E12E push [ebp+Format]
.text:0049E131 mov ecx, offset ??_C@_00CNPNBAHC@?$AA@FNODOBFM@
.text:0049E136 push 3 ;DPFLTR_INFO_LEVEL = 3
.text:0049E138 push 65h ;DPFLTR_DEFAULT_ID = 101 = 0x65
.text:0049E13A call vDbgPrintExWithPrefixInternal(x,x,x,x,x,x)
.text:0049E13F pop ebp
.text:0049E140 retn
.text:0049E140_DbgPrint endp
从反汇编代码来看,DbgPrint函数很简单,传递参数直接调用 vDbgPrintExWithPrefixInternal函数。传递的 ComponentId为 DPFLTR_DEFAULT_ID,Level 为 DPFLTR_INFO_LEVEL。查看 DbgPrintEx 函数的文档可以知道这两个参数的意义。
.text:0046EBF4__stdcall vDbgPrintExWithPrefixInternal(x, x, x, x, x, x) proc near
.text:0046EBF4 ;CODE XREF: _DbgPrintEx+19↑p .text:0046EC11
.text:0046EC17 push [ebp+ulLevel]
.text:0046EC1A push [ebp+ulComponentId]
.text:0046EC1D call NtQueryDebugFilterState(x,x)
.text:0046EC22 test eax, eax
.text:0046EC24 jnz short loc_46EC2D
.text:0046EC26
.text:0046EC26loc_46EC26:
.text:0046EC26 xor eax, eax
.text:0046EC28 jmp _exit
.text:0046EBA8__stdcall NtQueryDebugFilterState(x, x) proc near
.text:0046EBA8
.text:0046EBA8ulComponentId =dword ptr 8
.text:0046EBA8ulLevel =dword ptr 0Ch
.text:0046EBA8
.text:0046EBA8 mov edi, edi
.text:0046EBAA push ebp
.text:0046EBAB mov ebp, esp
.text:0046EBC0 mov ecx, [ebp+ulLevel]
.text:0046EBCC xor eax, eax
.text:0046EBCE inc eax
.text:0046EBCF shl eax, cl
.text:0046EBD1 test _Kd_WIN2000_Mask,eax
.text:0046EBD7 jnz short loc_46EBE8
.text:0046EBD9 mov ecx, _KdComponentTable[edx*4]
.text:0046EBE0 test [ecx], eax
.text:0046EBE2 jnz short loc_46EBE8
.text:0046EBE4 xor eax, eax
.text:0046EBE6 jmp short loc_46EBEB
vDbgPrintExWithPrefixInternal函数首先调用 NtQueryDebugFilterState函数检查 ComponentId和 Level 值判断当前输
出是否需要屏蔽。DbgPrint 传入的值分别是 65h 和 3, 65h 定为的 nt!Kd_DEFAULT_Mask的值和 3 被移位后的 8 比较,从而确定此次输出是否需要屏蔽。所以 Vista 系统上用 WinDbg 内核调试时缺省看不到 DbgPrint 输出的调试字符串,可
以用 ednt!Kd_DEFAULT_Mask 0x8 命令或者修改注册表打开 DbgPrint调试输出。
.text:0046EC5D push [ebp+ntStatus2]; cbDest .text:0046EC63 push [ebp+pszDest] ; pszDest .text:0046EC69 mov ecx, 512 .text:0046EC6E sub ecx, esi .text:0046EC70 lea edi, [ebp+esi+szBuffer] .text:0046EC77 call RtlStringCbVPrintfA(x,x,x,x) .text:0046ECB2 lea ecx, [ebp+szBuffer] .text:0046ECB8 mov [ebp+asBuffer.Buffer], ecx .text:0046ECBE mov [ebp+asBuffer.Length], ax .text:0046ECC5 cmp _KeBugCheckActive,0 .text:0046ECCC jnz short loc_46ED09 .text:0046ECCC .text:0046ECCE mov esi, _RtlpDebugPrintCallback .text:0046ECD4 test esi, esi .text:0046ECD6 jz short loc_46ED09 .text:0046ECD6 .text:0046ECD8 call ds:KeGetCurrentIrql() .text:0046ECDE mov bl, al .text:0046ECE0 cmp bl, PROFILE_LEVEL .text:0046ECE3 jnb short loc_46ECED .text:0046ECE3 .text:0046ECE5 mov cl, PROFILE_LEVEL .text:0046ECE7 call ds:KfRaiseIrql(x) .text:0046ECED .text:0046ECED loc_46ECED: .text:0046ECED push [ebp+ulLevel] .text:0046ECF0 push [ebp+ulComponentId] .text:0046ECF3 lea eax, [ebp+asBuffer] .text:0046ECF9 push eax .text:0046ECFA call esi ; DbgPrintCallback(PANSI_STRING pasBuffer, ULONG ulComponentId, ULONG ulLevel); .text:0046ECFC cmp bl, PROFILE_LEVEL .text:0046ECFF jnb short loc_46ED09 .text:0046ECFF .text:0046ED01 mov cl, bl .text:0046ED03 call ds:KfLowerIrql(x) |
如果此次输出不需要屏蔽,vDbgPrintExWithPrefixInternal继续执行。调用 RtlStringCbVPrintfA函数格式化字符串,再判断是否正在蓝屏过程中,然后提高 IRQL调用输出回调函数。调试输出回调是 Vista的新增功能,XP 中没有见到。
NTSTATUS DbgSetDebugPrintCallback(PDBGPRINT_CALLBACEpDbgCallback, BOOLEAN bSet)函数用来设置和取消回调函数,只能设置一个函数,函数地址保存在RtlpDebugPrintCallback 内部变量中。回调函数返回后降低 IRQL。
.text:0046ED09 movzx eax, [ebp+asBuffer.Length]
.text:0046ED10 mov [ebp+pszDest],eax
.text:0046ED16 mov eax, [ebp+asBuffer.Buffer]
.text:0046ED1C mov [ebp+var_234],eax
.text:0046ED22 push edi
.text:0046ED23 push ebx
.text:0046ED24 mov eax, 1 ; eax =BREAKPOINT_PRINT
.text:0046ED29 mov ecx, [ebp+var_234];ecx = pszBuffer
.text:0046ED2F mov edx, [ebp+pszDest];edx = ulBufLength
.text:0046ED35 mov ebx, [ebp+ulComponentId]
.text:0046ED38 mov edi, [ebp+ulLevel]
.text:0046ED3B int 2Dh ; Internalroutine for MSDOS (IRET)
.text:0046ED3D int 3 ; Trap toDebugger
vDbgPrintExWithPrefixInternal函数接着执行,通过 int2d 调用调试服务把字符串输出到调试器。int2d 的服务例程为
KiDebugService 函数。
.text:0044737C_KiDebugService: ;DATA XREF: INIT:0070A35C↓o
.text:004473EA inc dword ptr [ebp+68h]
.text:004473EA inc dword ptr [ebp+68h];[_KTRAP_FRAME].Eip
.text:004473ED mov eax, [ebp+44h] ; [_KTRAP_FRAME].Eax
.text:004473F0 mov ecx, [ebp+40h] ; [_KTRAP_FRAME].Ecx
.text:004473F3 mov edx, [ebp+3Ch] ; [_KTRAP_FRAME].Edx .text:004473F6 jmp loc_447527
.text:00447527
.text:00447527 loc_447527: ;CODE XREF: .text:004473F6↑j .text:00447527
.text:00447543 mov esi, ecx
.text:00447545 mov edi, edx
.text:00447547 mov edx, eax
.text:00447549 mov ebx, [ebp+68h];[_KTRAP_FRAME].Eip
.text:0044754C dec ebx
.text:0044754D mov ecx, 3
.text:00447552 mov eax, STATUS_BREAKPOINT
.text:00447557 call CommonDispatchException
.text:00446D70CommonDispatchException proc near
.text:00446D70
.text:00446D70stExceptionRecord= EXCEPTION_RECORD ptr-50h
.text:00446D70
.text:00446D70 sub esp, 50h
.text:00446D73 mov [esp+50h+stExceptionRecord.ExceptionCode],eax
.text:00446D76 xor eax, eax
.text:00446D78 mov [esp+50h+stExceptionRecord.ExceptionFlags],eax
.text:00446D7C mov [esp+50h+stExceptionRecord.ExceptionRecord],eax
.text:00446D80 mov [esp+50h+stExceptionRecord.ExceptionAddress],ebx
.text:00446D84 mov [esp+50h+stExceptionRecord.NumberParameters],ecx
.text:00446D88 cmp ecx, 0
.text:00446D8B jz short loc_446D99 .text:00446D8D lea ebx, [esp+50h+stExceptionRecord.ExceptionInformation] .text:00446D91 mov [ebx], edx .text:00446D93 mov [ebx+4], esi.text:00446D96 mov [ebx+8], edi .text:00446D99 .text:00446D99 .text:00446DA8 mov eax, [ebp+6Ch]; [_KTRAP_FRAME].SegCs.text:00446DAB .text:00446DAB loc_446DAB: ; CODE XREF: CommonDispatchException+36↑j .text:00446DAB and eax, 1 .text:00446DAE push 1 ; char .text:00446DB0 push eax ; int .text:00446DB1 push ebp ; BugCheckParameter3 .text:00446DB2 push 0 ; int .text:00446DB4 push ecx ; void * .text:00446DB5 call KiDispatchException(x,x,x,x,x) |
KiDebugService 先构建一个陷阱帧( KTRAP_FRAME ),然后设置参数调用 CommonDispatchException, CommonDispatchException会构建一个异常纪录(EXCEPTION_RECORD),然后调用 KiDispatchException 函数走异常处理流程,异常代码为 STATUS_BREAKPOINT。从 int2d�\>KiDebugService�\>CommonDispatchException�\>KiDispatchException这个流程一路看下来,会发现 int2d时提供的三个参数存放在异常纪录的 ExceptionInformation数组里面,分别是:
ExceptionInformation[0]表示BREAKPOINT_PRINT功能号。
ExceptionInformation[1]表示调试信息字符串地址。
ExceptionInformation[2]表示调试信息字符串长度。
进入 KiDispatchException后的代码比较复杂,当前只是分析 DbgPrint的流程,其他代码暂时不管,只需要知道 KiDispatchException会调用 KiDebugRoutine把异常提交给内核调试引擎处理。当处于内核调试时,KiDebugRoutine指向
KdpTrap 函数,没有调试时,KiDebugRoutine 指向 KdpStub 函数。先来看看 KdpStub 函数。
.text:0042A2DC __stdcall KdpStub(x, x, x, x, x, x) proc near .text:0042A2DC .text:0042A2DC TrapFrame = dword ptr 8 .text:0042A2DC ExceptionFrame = dword ptr 0Ch .text:0042A2DC ExceptionRecord = dword ptr 10h .text:0042A2DC ContextRecord = dword ptr 14h .text:0042A2DC PreviousMode = dword ptr 18h .text:0042A2DC bSecondChance = dword ptr 1Ch .text:0042A2DC .text:0042A2DC mov edi, edi .text:0042A2DE push ebp .text:0042A2DF mov ebp, esp .text:0042A2E1 push ebx .text:0042A2E2 push esi .text:0042A2E2 .text:0042A2E3 mov esi, [ebp+ExceptionRecord] .text:0042A2E6 xor ebx, ebx .text:0042A2E8 cmp [esi+EXCEPTION_RECORD.ExceptionCode], STATUS_BREAKPOINT |
.text:0042A2EE jnz short _elseif .text:0042A2EE .text:0042A2F0 cmp [esi+EXCEPTION_RECORD.NumberParameters], ebx .text:0042A2F3 jbe short _elseif .text:0042A2F3 .text:0042A2F5 mov eax, [esi+EXCEPTION_RECORD.ExceptionInformation] .text:0042A2F8 cmp eax, BREAKPOINT_LOAD_SYMBOLS .text:0042A2FB jz short loc_42A30C .text:0042A2FD cmp eax, BREAKPOINT_UNLOAD_SYMBOLS .text:0042A300 jz short loc_42A30C .text:0042A302 cmp eax, BREAKPOINT_COMMAND_STRING .text:0042A305 jz short loc_42A30C .text:0042A307 cmp eax, BREAKPOINT_PRINT .text:0042A30A jnz short _elseif .text:0042A30C .text:0042A30C mov eax, [ebp+ContextRecord] .text:0042A30F inc [eax+CONTEXT._Eip] .text:0042A315 mov al, 1 ; return TRUE; .text:0042A317 jmp short _exit |
KdpStub 先判断异常代码是不是 STATUS_BREAKPOINT(int3 断点异常也是这个异常代码,但第一个参数是BREAKPOINT_BREAK),然后判断参数个数。对于当前支持的四种调试服务,包括输出调试字符串,都是把 eip 加一,跳过 int2d 后面带的 int3 指令,然后从异常处理中返回,继续执行。
当正在调试时,KiDispatchException调用的就是 KdpTrap 函数。
PAGEKD:006AB5EB__stdcall KdpTrap(x, x, x, x, x, x) proc near
PAGEKD:006AB6A1loc_6AB6A1: ;CODE XREF: KdpTrap(x,x,x,x,x,x)+3A↑j
PAGEKD:006AB6A1 mov edx, [ebx+CONTEXT._Ebx]
PAGEKD:006AB6A7 lea ecx, [ebp+bReturn]
PAGEKD:006AB6AA push ecx
PAGEKD:006AB6AB push [ebp+ExceptionFrame]
PAGEKD:006AB6AE movzx ecx, word ptr [eax+1Ch];ExceptionInformation[2] PAGEKD:006AB6B2 push [ebp+TrapFrame]
PAGEKD:006AB6B5 push dword ptr [ebp+PreviousMode]
PAGEKD:006AB6B8 push ecx
PAGEKD:006AB6B9 push dword ptr [eax+18h];ExceptionInformation[1]
PAGEKD:006AB6BC mov ecx, [ebx+CONTEXT._Edi]
PAGEKD:006AB6C2 call KdpPrint(x,x,x,x,x,x,x,x)
KdpTrap 也会和 KdpStub 一样判断异常代码和参数个数,以及调试服务号,根据调试服务号的不同调用不同的处理函数。针对 BREAKPOINT_PRINT输出调试信息的情况,调用的是 KdpPrint函数。
KdpPrint 也会根据 ComponentId 和 Level 值判断一下是否需要屏蔽此次输出。然后判断特权模式,如果是用户模式还需要探测字符串内存,保证可读。
PAGEKD:006AC921 mov [ebp+asBuffer.Buffer],edi
PAGEKD:006AC924 mov [ebp+asBuffer.Length],bx
PAGEKD:006AC928 lea eax, [ebp+asBuffer]
PAGEKD:006AC92B push eax
PAGEKD:006AC92C call KdpLogDbgPrint(x)
PAGEKD:006AC931 cmp _KdDebuggerNotPresent,0
PAGEKD:006AC938 jnz short loc_6AC984
PAGEKD:006AC93A push [ebp+ExceptionFrame]PAGEKD:006AC93D push [ebp+TrapFrame]
PAGEKD:006AC940 call KdEnterDebugger(x,x)
PAGEKD:006AC945 mov [ebp-20h],al
PAGEKD:006AC948 lea eax, [ebp+asBuffer]
PAGEKD:006AC94B call KdpPrintString(x)
KdpPrint 接着调用 KdpLogDbgPrint 在一个循环缓冲区里记录调试字符串,然后判断是否挂接了调试器,调用
KdpPrintString 输出调试字符串。
KdpPrintString 构造一个调试包,通过 KdSendPacket函数发送给调试器。
DebugView实现原理
上一节详细介绍了 DbgPrint输出调试字符串的流程,现在来看看 DebugView工具的实现原理。 在 Vista 系统上,DebugView 设置了调试输出回调函数,从而截获调试字符串。
kd> dps nt!RtlpDebugPrintCallback L 1 818f41b8 00000000 kd> g
ModLoad: 919ef000 919f2d00 Dbgv.sys kd> dps nt!RtlpDebugPrintCallback L 1 818f41b8 919efa86 Dbgv+0xa86 |
在 Vista 以前的系统,比如 2003系统上, DbgPrint 函数调用 vDbgPrintExWithPrefixInternal 函数,在 vDbgPrintExWithPrefixInternal 函数里面不是直接 int2d 调用调试服务,而是通过 DebugPrint 函数再调用调试服务把字符串输出。DebugView 通过 Hook 函数 DebugPrint 截获调试字符串。
kd> u nt!DebugPrint nt!DebugPrint: 808356b6 8bff mov edi,edi 808356b8 55 push ebp 808356b9 8bec mov ebp,esp 808356bb ff7510 push dword ptr [ebp+10h] 808356be 8b4508 mov eax,dword ptr [ebp+8] 808356c1 ff750c push dword ptr [ebp+0Ch] 808356c4 0fb708 movzx ecx,word ptr [eax] 808356c7 51 push ecx 808356c8 ff7004 push dword ptr [eax+4] 808356cb 6a01 push 1 808356cd e86f460100 call nt!DebugService (80849d41) |
808356d2 5d pop ebp 808356d3 c20c00 ret 0Ch kd> g
ModLoad: f6a46000 f6a49d00 Dbgv.sys kd> u nt!DebugPrint nt!DebugPrint: 808356b6 ff258c7da4f6 jmp dword ptr [Dbgv+0x1d8c (f6a47d8c)] 808356bc 7510 jne nt!DebugPrint+0x18 (808356ce) 808356be 8b4508 mov eax,dword ptr [ebp+8] 808356c1 ff750c push dword ptr [ebp+0Ch] 808356c4 0fb708 movzx ecx,word ptr [eax] 808356c7 51 push ecx 808356c8 ff7004 push dword ptr [eax+4] 808356cb 6a01 push 1 kd> dps 0xf6a47d8c L 1 f6a47d8c f6a469ac Dbgv+0x9ac |
========== 小喂
2007�\12�\01