1、debugger

debugger發(fā)音

英：[?di??b?ɡ?r]　　美：[?di??b?ɡ?(r)]

英：　　美：

debugger中文意思翻譯

常用釋義：調試器

n.調試器；[計]調試程序

debugger雙語(yǔ)使用場(chǎng)景

1、Whatever you do, use the debugger.───無(wú)論如何，務(wù)必選用一種調試器。

2、Try out the debugger next.───接下來(lái)請嘗試調試器。

3、None of the arguments for a kernel debugger has touched me in the least. And trust me, over the years I've.───任何關(guān)于內核調試器的意見(jiàn)、爭論都沒(méi)有觸動(dòng)我，哪怕是絲毫。相信我，這么多年來(lái)我收到很多這。

4、The debugger can be used to debug a style sheet, or to debug an XSLT transformation invoked from another application.───調試程序可以用于調試樣式表，也可以用于調試從另一個(gè)應用程序調用的XSLT轉換。

5、As a solution , use the IIS management utility ( MMC ) to set the application to run out-of- process before starting the debugger .───作為一種解決方案，在啟動(dòng)調試器之前，使用IIS管理實(shí)用工具（MMC）設置應用程序以使其在進(jìn)程外運行。

6、After a few more verification runs, and a bit of self shame, I realized it indeed was my problem and got out the debugger.───在經(jīng)過(guò)更多次的核實(shí)以后，讓我感到有些羞愧，我意識到這確實(shí)是我的問(wèn)題。

7、It is a command-line debugger.───它是一個(gè)命令行調試器。

8、You will need to be running a kernel debugger or to analyze the crash dump after the fact to isolate the cause of the failure.───在離析出這個(gè)失敗原因之后，你需要運行一個(gè)內核調試器或者分解這個(gè)崩潰垃圾堆。

9、The debugger can be used to debug a style sheet, or to debug a compiled XSL transformation invoked from another application.───調試程序可以用于調試樣式表，也可以用于調試從另一個(gè)應用程序調用的已編譯XSLT轉換。

debugger相似詞語(yǔ)短語(yǔ)

1、paused in debugger───在調試器中暫停

2、映像劫持的基本原理

QUOTE

NT系統在試圖執行一個(gè)從命令行調用的可執行文件運行請求時(shí)，先會(huì )檢查運行程序是不是可執行文件，如果是的話(huà)，再檢查格式的，然后就會(huì )檢查是否存在。。如果不存在的話(huà)，它會(huì )提示系統找不到文件或者是“指定的路徑不正確等等。

當然，把這些鍵刪除后，程序就可以運行！

從實(shí)際現象來(lái)說(shuō)

把IFEO直接稱(chēng)為“映像劫持”未免有點(diǎn)冤枉它了，因為里面大部分參數并不會(huì )導致今天這種局面的發(fā)生，惹禍的參數只有一個(gè)，那就是“Debugger”，將IFEO視為映像劫持，大概是因為國內一些人直接套用了“Image File Execution Options”的縮寫(xiě)吧，在相對規范的來(lái)自Sysinternals的專(zhuān)業(yè)術(shù)語(yǔ)里，利用這個(gè)技術(shù)的設計漏洞進(jìn)行非法活動(dòng)的行為應該被稱(chēng)為“Image Hijack”，這才是真正字面上的“映像劫持”！

Debugger參數

直接翻譯為“調試器”，它是IFEO里第一個(gè)被處理的參數，其作用是屬于比較匪夷所思的，系統如果發(fā)現某個(gè)程序文件在IFEO列表中，它就會(huì )首先來(lái)讀取Debugger參數，如果該參數不為空，系統則會(huì )把Debugger參數里指定的程序文件名作為用戶(hù)試圖啟動(dòng)的程序執行請求來(lái)處理，而僅僅把用戶(hù)試圖啟動(dòng)的程序作為Debugger參數里指定的程序文件名的參數發(fā)送過(guò)去！光是這個(gè)概念大概就足夠一部分人無(wú)法理解了，所以我們放簡(jiǎn)單點(diǎn)說(shuō)，例如有兩個(gè)客人在一起吃自助餐，其中一個(gè)客人（用戶(hù)）委托另一個(gè)客人（系統）去拿食物時(shí)順便幫自己帶點(diǎn)食物回來(lái)（啟動(dòng)程序的請求），可是系統在幫用戶(hù)裝了一盤(pán)子食物并打算回來(lái)時(shí)卻發(fā)現另一桌上有個(gè)客人（Debugger參數指定的程序文件）居然是自己小學(xué)里的暗戀對象！于是系統直接端著(zhù)原本要拿給用戶(hù)的食物放到那桌客人那里共同回憶往事去了（將啟動(dòng)程序請求的執行文件映像名和最初參數組合轉換成新的命令行參數……），最終吃到食物的自然就是Debugger客人（獲得命令行參數），至此系統就忙著(zhù)執行Debugger客人的啟動(dòng)程序請求而把發(fā)出最初始啟動(dòng)程序請求的用戶(hù)和那盤(pán)食物（都送給Debugger客人做命令行參數了）給遺忘了。

在系統執行的邏輯里

這就意味著(zhù)，當一個(gè)設置了IFEO項Debugger參數指定為“notepad.exe”的“iexplore.exe”被用戶(hù)以命令行參數“-nohome bbset”請求執行時(shí)，系統實(shí)際上到了IFEO那里就跑去執行notepad.exe了，而原來(lái)收到的執行請求的文件名和參數則被轉化為整個(gè)命令行參數“C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome ”來(lái)提交給notepad.exe執行，所以最終執行的是“notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.即用戶(hù)原來(lái)要執行的程序文件名iexplore.exe被替換為notepad.exe，而原來(lái)的整串命令行加上iexplore.exe自身，都被作為新的命令行參數發(fā)送到notepad.exe去執行了，所以用戶(hù)最終看到的是記事本的界面，并可能出現兩種情況，一是記事本把整個(gè)iexplore.exe都作為文本讀了出來(lái)，二是記事本彈出錯誤信息報告“文件名不正確”，這取決于iexplore.exe原來(lái)是作為光桿司令狀態(tài)請求執行（無(wú)附帶運行命令行參數）的還是帶命令行參數執行的。

Debugger參數存在的本意

是為了讓程序員能夠通過(guò)雙擊程序文件直接進(jìn)入調試器里調試自己的程序，曾經(jīng)調試過(guò)程序的朋友也許會(huì )有一個(gè)疑問(wèn)，既然程序啟動(dòng)時(shí)都要經(jīng)過(guò)IFEO這一步，那么在調試器里點(diǎn)擊啟動(dòng)剛被Debugger參數送進(jìn)來(lái)的程序時(shí)豈不是又會(huì )因為這個(gè)法則的存在而導致再次產(chǎn)生一個(gè)調試器進(jìn)程？微軟并不是傻子，他們理所當然的考慮到了這一點(diǎn)，因此一個(gè)程序啟動(dòng)時(shí)是否會(huì )調用到IFEO規則取決于它是否“從命令行調用”的，那么“從命令行調用”該怎么理解呢？例如我們在命令提示符里執行taskmgr.exe，這就是一個(gè)典型的“從命令行調用”的執行請求，而我們在點(diǎn)擊桌面上、普通應用程序菜單里的taskmgr.exe時(shí)，系統都會(huì )將其視為由外殼程序Explorer.exe傳遞過(guò)來(lái)的執行請求，這樣一來(lái)，它也屬于“從命令行調用”的范圍而觸發(fā)IFEO規則了。為了與用戶(hù)操作區分開(kāi)來(lái)，系統自身加載的程序、調試器里啟動(dòng)的程序，它們就不屬于“從命令行調用”的范圍，從而繞開(kāi)了IFEO，避免了這個(gè)加載過(guò)程無(wú)休止的循環(huán)下去。

由于Debugger參數的這種特殊作用，它又被稱(chēng)為“重定向”（Redirection），而利用它進(jìn)行的攻擊，又被稱(chēng)為“重定向劫持”（Redirection Hijack），它和“映像劫持”（Image Hijack，或IFEO Hijack）只是稱(chēng)呼不同，實(shí)際上都是一樣的技術(shù)手段。

實(shí)質(zhì)問(wèn)題

講解完Debugger參數的作用，我們來(lái)看看“映像劫持”到底是怎么一回事，遭遇流行“映像劫持”病毒的系統表現為常見(jiàn)的殺毒軟件、防火墻、安全檢測工具等均提示“找不到文件”或執行了沒(méi)有反應，于是大部分用戶(hù)只能去重裝系統了，但是有經(jīng)驗或者歪打正著(zhù)的用戶(hù)將這個(gè)程序改了個(gè)名字，就發(fā)現它又能正常運行了，這是為什么？答案就是IFEO被人為設置了針對這些流行工具的可執行文件名的列表了，而且Debugger參數指向不存在的文件甚至病毒本身！

舉例

以超級巡警的主要執行文件AST.exe為例，首先，有個(gè)文件名為kkk.exe的惡意程序向IFEO列表里寫(xiě)入AST.exe項，并設置其Debugger指向kkk.exe，于是系統就會(huì )認為kkk.exe是AST.exe的調試器，這樣每次用戶(hù)點(diǎn)擊執行AST.exe時(shí)，系統執行的實(shí)際上是作為調試器身份的kkk.exe，至于本該被執行的AST.exe，此刻只能被當作kkk.exe的執行參數來(lái)傳遞而已，而由于kkk.exe不是調試器性質(zhì)的程序，甚至惡意程序作者都沒(méi)有編寫(xiě)執行參數的處理代碼，所以被啟動(dòng)的永遠只有kkk.exe自己一個(gè)，用戶(hù)每次點(diǎn)擊那些“打不開(kāi)”的安全工具，實(shí)際上就等于又執行了一次惡意程序本體！這個(gè)招數被廣大使用“映像劫持”技術(shù)的惡意軟件所青睞，隨著(zhù)OSO這款超級U盤(pán)病毒與AV終結者（隨機數病毒、8位字母病毒）這兩個(gè)滅殺了大部分流行安全工具和殺毒軟件的惡意程序肆虐網(wǎng)絡(luò )以后，一時(shí)之間全國上下人心惶惶，其實(shí)它們最大改進(jìn)的技術(shù)核心就是利用IFEO把自己設置為各種流行安全工具的調試器罷了，破解之道尤其簡(jiǎn)單，只需要將安全工具的執行文件隨便改個(gè)名字，而這個(gè)安全工具又不在乎互斥量的存在，那么它就能正常運行了，除非你運氣太好又改到另一個(gè)也處于黑名單內的文件名去了，例如把AST.exe改為IceSword.exe。