在逆向过程中，往往碰到多进程的调试情况，这个时候该如何处理呢？

一、dnspy 多进程调试

    1.1  当子进程起来后，另外起dnpsy使用附加的方式，可以进入调试。

这样做是可以调试，但是这样看手速... 如果你附加过慢，可能关键函数已经跳过了；最主要的问题是如果使用dnspy的附加功能，很多函数的局部变量显示不出值，提示：进程不安全；这时，我们应该选择方式1.2。

 

    1.2  dnspyA启动调试主进程，到起进程ProcessStart处断下来，这时可以见到，第一个参数是子进程名，第二个参数是启动参数；     我们再启动一个dnspyB，按照这个启动参数启动，子进程即可；

    注意：启动参数需要修改：去掉头尾的字符串，"""" 改为 "" , \  改为 \\ ;

 

二、OD的多进程调试

   其实和dnspy的差不多。

 

多进程调试命令： 

1、默认设置下，在调试多进程程序时GDB只会调试主进程。但是设置follow-fork-mode的话，就可调试多个进程。 

set follow-fork-mode parent|child： 

进入gdb后默认调试的是parent,要想调试child的话，需要设置set follow-fork-mode child,然后进入调试。当然这种方式只能同时调试一个进程。 

show follow-fork-mode:查看当前调试的fork的模式。

2、detach-on-fork on|off： 

设置为on的话，只调试父进程或子进程其中一个，需要根据follow-fork-mode决定，这是默认模式。 

设置成off的话，父子进程都在gdb的控制之下，其中一个进程正常调试，需要根据follow-fork-mode决定，另一个进程会被设置为暂停状态。 

show detach-on-fork：查看detach-on-fork的模式。

扩展：GDB将每一个被调试程序的执行状态记录在一个名为inferior的结构中。一般情况下一个inferior对应一个进程，每个不同的inferior有不同的地址空间。inferior有时候会在进程没有启动的时候就存在。

3、info inferiors:显示GDB调试的所有inferior，GDB会为他们分配ID。其中带有*的进程是正在调试的inferior.

4、inferior num：切换到ID是num的inferior进行调试。

5、add-inferior [-copies n] [-exec executable]: 

增加n个inferior并执行程序为executable。如果不指定n只增加一个inferior。如果不指定executable，则执行程序留空，增加后可使用file命令重新指定执行程序。这时候创建的inferior其关联的进程并没启动。

6、clone-inferior [-copies n] [infno]: 

复制n个编号是infno的inferior。如果不指定n的话，就只复制一个inferior。如果不指定infno，则就复制正在调试的inferior。

7、 detach inferior infno: 

detach掉编号是infno的inferior。注意这个inferior还存在，可以再次用run命令执行它。

8、kill inferior infno: 

kill掉infno号inferior。注意这个inferior仍然存在，可以再次用run等命令执行它。

9、remove-inferior infno: 

删除一个infno号的inferior。如果inferior正在运行，则不能删除，所以删除前需要先kill或者detach这个inferior。

10、set schedule-multiple on|off: 

设为off:只有当前inferior会执行。 

设为on：全部是执行状态的inferior都会执行。 

这个选项类似于多线程调试里的set scheduler-locking选项 

注意:如果scheduler-locking是指为on，即使schedule-multiple设置为on，也只有当前进程的当前线程会执行。

show schedule-multiple： 

查看schedule-multiple的状态。

11、set follow-exec-mode new|same: 

设置same:当发生exec的时候，在执行exec的inferior上控制子进程。 

设置为new:新建一个inferior给执行起来的子进程。而父进程的inferior仍然保留，当前保留的inferior的程序状态是没有执行。 

show follow-exec-mode：查看follow-exec-mode设置的模式。

12、set print inferior-events on|off:用来打开和关闭inferior状态的提示信息。 

show print inferior-events ：查看print inferior-events设置的状态。

13、maint info program-spaces: 

用来显示当前GDB一共管理了多少地址空间。

示例：



#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>
int main()
{
    printf("this is one\n");
    pid_t id=fork();
    printf("this is tow\n");
    if(id==0)
    {
        printf("this is child\n:%d  ppid:%d\n",getpid(),getppid());
        exit(1);
    }
    else
    {
        sleep(1);
        printf("this is father:%d\n",getpid());
        waitpid(-1,NULL,0);
    }

    return 0;
}

1、设置调试的模式 


2、切换调试的进程 


注意：带有*的进程是当前正在调试的进程

之前开发多进程的应用，想要调试Application 里面的代码，一直调试不了代码。

因为是多进程，Application 会执行两次。
原因：


比如我们有两个进程，一个叫进程a, 一个叫进程b.

因为我们android debug 的时候，选择的是attch debug  for process，只能选一个进程。我们选择了进程a， 所以， 你只能收到一开始的时候的Application执行。进程b 的你是收不到断点的。因为不是一个进程。
解决方法：
在你的application onCreate 里面，加上下面这句，保证各种进程都会等着你调试！
                Debug.waitForDebugger();


总结：
1.之前觉得这句话很废物，没什么用，没想到果然是很有用。尤其是多进程的时候。

2. 如果解决一些黑屏的问题，我们可以在一些地方加上这句话，判断是在这个代码之前黑屏还是在这个代码之后黑屏。这句话对调试查问题，很有帮助。

我们首先做个实验，来看windbg是否支持多进程调试, 我首先编写一个MFC工程命名为mutiprocess，在这个工程中简单添加一个按钮，作用是启动一个线程。代码如下：
 // TODO: Add your control notification handler code here

 STARTUPINFO           StartupInfo;
 PROCESS_INFORMATION pi; //Define as global variable, the pi must be transmited to DbgMainLoop(DWORD)
 memset ( &StartupInfo , NULL , sizeof ( STARTUPINFO ) ) ;

 memset ( &pi , NULL , sizeof ( PROCESS_INFORMATION ) ) ;
 StartupInfo.cb = sizeof ( STARTUPINFO ) ;
 //create the Debuggee process

 CreateProcess(

   0,

   "D:\\C++\\debugviewTest\\Debug\\debugviewTest.exe",

   (LPSECURITY_ATTRIBUTES) 0L,

   (LPSECURITY_ATTRIBUTES) 0L,

   TRUE,

    NORMAL_PRIORITY_CLASS,

   (LPVOID) 0L,

   (LPTSTR) 0L,

   &StartupInfo, &pi ) ;
然后进行编译，通过后启动windbg，选择“Open Executable”，选择编译成功的mutiprocess.exe，当进入到初始化断点后直接键入‘g’。接下来mutiprocess.exe启动。当点
对画框中的button后将启动进程“debugviewTest.exe”，debugviewTest.exe是个被调试进程其中的功能包括breakpoint，trace，Create thread， remote break point。然后尝试点击break point， trace， create thread等按钮，发现在windbg没有任何显示。
接下来在mutiprocess的按钮上添加一行代码“DebugBreak();”，手动添加一个断点，然后重复以上测试，但debugviewTest.exe启动后，mutiprocess被中断到调试器，此时尝试点击break point，trace，create thread等按钮，仍然发现在windbg中没有任何显示。
于是可以得出windbg不支持多进程的调试。但从windbg的调试结构上看，windbg完全可以支持多进程的调试，但为什么没有实现这个功能呢？我一直思考但没有得出结论，但我觉得多进程调试还是有其方便之处，下篇中我将介绍如何能够实现多进程调试以及其优点。