前兩天有朋友問:“如何監(jiān)控自己的程序創(chuàng)建的子進(jìn)程所發(fā)生的異常?”一開始,我以為這子進(jìn)程是他自己編寫的程序,所以直接就說:“在子進(jìn)程的代碼中使用“SetUnhandledExceptionFilter”這個API,注冊一個未處理異常的回調(diào)函數(shù),然后在回調(diào)函數(shù)中做相應(yīng)處理就可以了。”實際上,現(xiàn)在大部分應(yīng)用程序也都使用了這個API來監(jiān)控自己的程序的崩潰情況。例如QQ、遨游等,在崩潰的時候都會提示需要發(fā)送一個錯誤報告文件,這個錯誤報告文件就是用這種方式生成的。
但是,隨后這位朋友說,這個子進(jìn)程并不是他編寫的,沒辦法修改程序的代碼。實際上他是需要做計算機(jī)病毒分析,要對一些病毒程序的運(yùn)行情況進(jìn)行監(jiān)控。
在這樣的狀況下,我想到了這樣一個思路:就是將他的監(jiān)控程序注冊為系統(tǒng)中的實時調(diào)試器,這樣系統(tǒng)中有任何進(jìn)程發(fā)生崩潰時,Windows都會將該進(jìn)程的PID傳遞給這個監(jiān)控程序。至于崩潰進(jìn)程是否是他的子進(jìn)程,只需要根據(jù)PID就可以簡單地判斷出來了。
所謂“實時調(diào)試”(英語叫Just-In-Time debugging),其實就是Visual Studio以及Windbg等調(diào)試程序?qū)⒆约鹤詾橄到y(tǒng)中的默認(rèn)調(diào)試器的機(jī)制。用過Visual Studio的都知道,安裝了這玩意之后,每當(dāng)程序崩潰,VS都可以直接跳出來詢問是否對該進(jìn)程進(jìn)行調(diào)試,這就是“實時調(diào)試”的能力。
具體的注冊方式其實很簡單,修改注冊表就可以實現(xiàn)。打開[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]這個鍵,在其下建立“Debugger”的字符串值,具體內(nèi)容填寫“監(jiān)控進(jìn)程的全路徑 -p %ld -e %ld”,例如“c:\exceptionMonitor.exe -p %ld -e %ld”。監(jiān)控程序要支持兩個參數(shù),一個是“-p”,一個是“-e”,當(dāng)有程序崩潰時,系統(tǒng)會把用程序的PID替換參數(shù)中的“%ld”,傳遞給監(jiān)控程序。
但還有一些其他的問題,這就是系統(tǒng)只能設(shè)置一個實時調(diào)試器。如果系統(tǒng)中已經(jīng)有VS等程序注冊過了,我們?nèi)バ薷倪@個值不就影響了這些程序的監(jiān)控嗎?這個問題其實也好解決,只要采取計算機(jī)安全領(lǐng)域里用到爛大街的“Hook”思想就可以了。具體方式是首先將VS等其他程序注冊的“Debugger”值保存到另外一個鍵值下,例如取名為“PreviousDebugger”,然后再把我們的程序?qū)懙秸嬲?#8220;Debugger”鍵值下。當(dāng)系統(tǒng)中的程序發(fā)生崩潰并被我們的監(jiān)控程序截獲后,我們首先進(jìn)行自己的處理,處理完畢再根據(jù)“PreviousDebugger”中記錄的調(diào)試程序路徑,將崩潰的程序“扔”給后續(xù)的調(diào)試程序。如此一來,大家都有機(jī)會進(jìn)行處理,各取所需,皆大歡喜了。
最后要說明的是,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]下面還有一個Auto值,如果這個值為“0”的話,那么當(dāng)程序崩潰的時候系統(tǒng)會彈出一個對話框,讓用戶選擇是否啟動調(diào)試器。要是用戶選擇不啟動,我們的監(jiān)控程序就等于是“白給”了。所以,我們務(wù)必要把這個值設(shè)為“1”啊,切記切記。
轉(zhuǎn)自:
http://blog.sina.com.cn/s/blog_53f909390100n3p8.html