软件调试笔记15

调试会话有两种建立方式：从调试器启动被调试程序，附件到被调试程序。

从调试器启动：就是在调用创建进程的API比如CreateProcess时指定DEBUG_PROCESS或者DEBUG_ONLY_THIS_PROCESS。前者是调试正在创建的进程以及子进程，后者不包括子进程。系统在创建进程的时候，如果发现包括这俩标志，则会把新创建的进程当作被调试程序，把调用进程当作调试器进程。并在创建过程中设置DebugPort, BeingDebugged。

第一批调试事件：

当创建好后，调试器与被调试进程的对话就建立起来了，调试器线程接下来进入调试事件循环来接收调试事件。

初始断点：

当新进程的初始线程在自己的上下文初始化时，NTDLL中的函数会检查正在初始化的进程是否处于被调试状态，如果是，则会触发一个断点异常，中断到调试器。相当于系统在新进程中设置的一个断点，称为初始断点。当这个断点发生的时候，被调试程序的主函数还没执行，因此对于调试在程序初始化阶段发生的问题非常有意义。

自动启动调试器：

附加到已经启动的进程：

主要是通过DebugActiveProcess API来完成的。只需要将一个进程ID传给它，系统就会将这个API的进程跟传递进来的进程建立调试关系。