【C】测试Windows下直接将eflags的tf位设置为1会咋样？

0xAA55

eflags的tf位，就是Trap Flag，陷阱标识，是用于给调试器进行单步调试用的。这个位设置为1以后，CPU每执行一条指令，都会产生单步中断。不同于int3（也就是“烫”）的断点中断，这个是硬断，中断号是int 1。
古代的debug.exe的t命令就是用这种方式进行单步调试的。当然还有p命令，这个p命令就是用“烫”来中断的了。
单步位是第8bit，我们看看intel的文档就知道了。

图1：Intel文档片段（1986）

首先我写下这样的代码。大家可以看到我直接读取了eflags的值，然后将第8个bit设置为1，并将其塞回eflags寄存器里面去，看看它会不会立即生效。

1. #include<stdint.h>
   
2. #include<stdio.h>
   
3. #include<conio.h>
   
4. 
   
5. int main(int argc,char**argv)
   
6. {
   
7.         uint32_t _eflags;
   
8.         _asm
   
9.         {
   
10.                 pushfd;
    
11.                 pop eax;
    
12.                 mov _eflags,eax;//取得旧的eflags的值
    
13.         };
    
14.         printf("EFLAGS = 0x%.8X\n",_eflags);
    
15. 
    
16.         _asm
    
17.         {
    
18.                 mov eax,_eflags;
    
19.                 or eax,0x100;//设置tf位
    
20.                 push eax;
    
21.                 popfd;//然后将其装入eflags寄存器
    
22. 
    
23.                 //跑几个指令
    
24.                 nop;
    
25.                 xchg eax,edx;
    
26.                 xchg edx,eax;
    
27. 
    
28.                 //取回eflags的值，显示一下。
    
29.                 pushfd;
    
30.                 pop eax;
    
31.                 mov _eflags,eax;
    
32.         };
    
33.         printf("EFLAGS = 0x%.8X\n",_eflags);
    
34. 
    
35.         //暂停
    
36.         _getch();
    
37.         return 0;
    
38. }

复制代码

我直接点了VS的运行按钮，它直接弹出了这样的窗口：

图2：VS捕获中断

喜闻乐见，它中断了，然后被VS捕获了。
那么我们让它不带调试器，自己单独运行，看是什么效果。

图3


图4

看样子不带调试器的话这个中断没人管，它就死了。
那这样，我们自己捕获它的中断试试。

1. #include<stdint.h>
   
2. #include<stdio.h>
   
3. #include<conio.h>
   
4. #include<Windows.h>
   
5. 
   
6. LONG WINAPI __int3catch(struct _EXCEPTION_POINTERS*pExceptionInfo)
   
7. {
   
8.         switch(pExceptionInfo->ExceptionRecord->ExceptionCode)
   
9.         {
   
10.         case EXCEPTION_SINGLE_STEP:
    
11.                 printf("单步\n");
    
12.                 break;
    
13.         default:
    
14.                 return EXCEPTION_CONTINUE_SEARCH;
    
15.         }
    
16.         
    
17.         return EXCEPTION_CONTINUE_EXECUTION;
    
18. }
    
19. 
    
20. int main(int argc,char**argv)
    
21. {
    
22.         uint32_t _eflags;
    
23. 
    
24.         SetErrorMode(SEM_FAILCRITICALERRORS);
    
25.         SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)__int3catch);
    
26. 
    
27.         _asm
    
28.         {
    
29.                 pushfd;
    
30.                 pop eax;
    
31.                 mov _eflags,eax;//取得旧的eflags的值
    
32.         };
    
33.         printf("EFLAGS = 0x%.8X\n",_eflags);
    
34. 
    
35.         _asm
    
36.         {
    
37.                 mov eax,_eflags;
    
38.                 or eax,0x100;//设置tf位
    
39.                 push eax;
    
40.                 popfd;//然后将其装入eflags寄存器
    
41. 
    
42.                 //跑几个指令
    
43.                 nop;
    
44.                 xchg eax,edx;
    
45.                 xchg edx,eax;
    
46. 
    
47.                 //取回eflags的值，显示一下。
    
48.                 pushfd;
    
49.                 pop eax;
    
50.                 mov _eflags,eax;
    
51.         };
    
52.         printf("EFLAGS = 0x%.8X\n",_eflags);
    
53.         
    
54.         //暂停
    
55.         _getch();
    
56.         return 0;
    
57. }

复制代码

上面的代码运行了以后，它应该能在触发单步中断的时候，显示一个“单步”。

图5

还是会被VS捕获到。
然后我单独运行它（不附加调试器）：

图6

它只显示了一个“单步”，并且事前事后显示的eflags数值没变。。估计是单步后，Windows对其进行了处理。Windows应该是确认没有单线程自己调试自己的情况的吧。。

参考资料：
https://en.wikipedia.org/wiki/Trap_flag

Golden Blonde

其实还可以用SetContextThread来设置TF位。不过必须在线程运行的时候。
如果线程处于system("pause");之后，设置context会失败。