C#非托管泄漏中HEAP_第1頁(yè)
C#非托管泄漏中HEAP_第2頁(yè)
C#非托管泄漏中HEAP_第3頁(yè)
C#非托管泄漏中HEAP_第4頁(yè)
C#非托管泄漏中HEAP_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第C#非托管泄漏中HEAP目錄一:背景1.講故事二:如何正確推導(dǎo)1.原理是什么?2.通過(guò)匯編觀察編解碼邏輯3.尋找edi所屬的堆塊總結(jié)

一:背景

1.講故事

前段時(shí)間有位朋友在分析他的非托管泄漏時(shí),發(fā)現(xiàn)NT堆的_HEAP_ENTRY的Size和!heap命令中的Size對(duì)不上,來(lái)咨詢(xún)是怎么回事?比如下面這段輸出:

0:000!heap0000000000550000-a

IndexAddressNameDebuggingoptionsenabled

1:00550000

HeapentriesforSegment00inHeap0000000000550000

address:psize.sizeflagsstate(requestedsize)

0000000000550000:00000.00740[101]-busy(73f)

0000000000550740:00740.00110[101]-busy(108)

0:000dtnt!_HEAP_ENTRY0000000000550740

ntdll!_HEAP_ENTRY

+0x000UnpackedEntry:_HEAP_UNPACKED_ENTRY

+0x000PreviousBlockPrivateData:(null)

+0x008Size:0xa6a7

+0x00aFlags:0x33'3'

+0x00bSmallTagIndex:0x75'u'

從輸出中可以看到,用!heap命令的顯示0000000000550740的size=0x00110,而dt顯示的size=0xa6a7,那為什么這兩個(gè)size不一樣呢?毫無(wú)疑問(wèn)!heap命令中顯示的0x00110是對(duì)的,而0xa6a7是錯(cuò)的,那為什么會(huì)錯(cuò)呢?很顯然Windows團(tuán)隊(duì)并不想讓你能輕松的從ntheap上把當(dāng)前的entry給挖出來(lái),所以給了你各種假數(shù)據(jù),言外之意就是size已經(jīng)編碼了。

原因給大家解釋清楚了,那我能不能對(duì)抗一下,硬從NtHeap上將正確的size給推導(dǎo)出來(lái)呢?辦法肯定是有辦法的,這篇我們就試著聊一聊。

二:如何正確推導(dǎo)

1.原理是什么?

其實(shí)原理很簡(jiǎn)單,_HEAP_ENTRY中的Size已經(jīng)和_HEAP下的Encoding做了異或處理。

0:004dtnt!_HEAP

ntdll!_HEAP

...

+0x07cEncodeFlagMask

:Uint4B

+0x080Encoding

:_HEAP_ENTRY

...

那如何驗(yàn)證這句話是否正確呢?接下來(lái)啟動(dòng)WinDbg來(lái)驗(yàn)證下,為了方便說(shuō)明,先上一段測(cè)試代碼。

intmain()

for(size_ti=0;i10000;i++)

int*ptr=(int*)malloc(sizeof(int)*1000);

printf("i=%d\n",i+1);

Sleep(1);

getchar();

既然代碼中會(huì)用到Encoding字段來(lái)編解碼size,那我是不是可以用ba在這個(gè)內(nèi)存地址中下一個(gè)硬件條件,如果命中了,就可以通過(guò)匯編代碼觀察編解碼邏輯,對(duì)吧?有了思路就可以開(kāi)干了。

2.通過(guò)匯編觀察編解碼邏輯

因?yàn)閙alloc默認(rèn)是分配在進(jìn)程堆上,所以用!heap-s找到進(jìn)程堆句柄進(jìn)而獲取Encoding的內(nèi)存地址。

0:004!heap-s

************************************************************************************************************************

NTHEAPSTATSBELOW

************************************************************************************************************************

LFHKey:0x64ffdd9683678f7e

Terminationoncorruption:ENABLED

HeapFlagsReservCommitVirtFreeListUCRVirtLockFast

(k)(k)(k)(k)lengthblockscont.heap

-------------------------------------------------------------------------------------

00000000004a0000000000022432154420405012200LFH

0000000000010000000080006446421100

-------------------------------------------------------------------------------------

0:004dtnt!_HEAP00000000004a0000

ntdll!_HEAP

+0x000Segment:_HEAP_SEGMENT

+0x07cEncodeFlagMask:0x100000

+0x080Encoding:_HEAP_ENTRY

0:004dx-r1(*((ntdll!_HEAP_ENTRY*)0x4a0080))

(*((ntdll!_HEAP_ENTRY*)0x4a0080))[Type:_HEAP_ENTRY]

[+0x000]UnpackedEntry[Type:_HEAP_UNPACKED_ENTRY]

[+0x000]PreviousBlockPrivateData:0x0[Type:void*]

[+0x008]Size:0x8d69[Type:unsignedshort]

[+0x00a]Flags:0xfd[Type:unsignedchar]

0:004dp00000000004a0000+0x80L4

00000000`004a008000000000`00000000000076a1`cefd8d69

00000000`004a00900000ff00`0000000000000000`eeffeeff

可以看到Encoding中的Size偏移是+0x008,所以我們硬件條件斷點(diǎn)的偏移值是0x88,命令為bar400000000004a0000+0x88,設(shè)置好之后就可以繼續(xù)go啦。

從圖中可以看到在ntdll!RtlpAllocateHeap+0x55c方法處成功命中,從匯編中可以看到。

eax:這是Encoding,即我們硬件斷點(diǎn)。edi:某個(gè)heap_entry的size掩碼值。

最后就是做一個(gè)xor異或操作,也就是正確的size值。

0:000reax,edi

eax=cefd8d69edi=18fd8ab8

0:000eax^edi

Evaluateexpression:3590326225=00000000`d60007d1

0:00007d1*0x10

Evaluateexpression:32016=00000000`00007d10

可以看到最后的size=7d10,這里為什么乘0x10,過(guò)一會(huì)再說(shuō),接下來(lái)我們找一下edi所屬的堆塊。

3.尋找edi所屬的堆塊

要想找到所屬堆塊,可以用內(nèi)存搜索的方式,再用!heap-x觀察即可。

0:000s-d0L0xffffffffffffffff18fd8ab8

00000000`005922b818fd8ab8000056a0004a015000000000.....V..P.J.....

0:000!heap-x00000000`005922b8

EntryUserHeapSegmentSizePrevSizeUnusedFlags

-------------------------------------------------------------------------------------------------------------

00000000005922b000000000005922c000000000004a000000000000004a00007d10200100free

0:000dtnt!_HEAP_ENTRY00000000005922c0

ntdll!_HEAP_ENTRY

+0x008Size:0x4020

+0x00aFlags:0xa3''

有了這些信息就可以純手工推導(dǎo)了。

獲取Encoding值。

0:000dp00000000004a0000+0x88L4

00000000`004a0088000076a1`cefd8d690000ff00`00000000

00000000`004a009800000000`eeffeeff00000000`00400000

獲取size值。

0:000dp00000000005922b0+0x8L4

00000000`005922b8000056a0`18fd8ab800000000`004a0150

00000000`005922c800000000`00a3402000000000`00000000

異或size和Encoding

0:000000076a1`cefd8d69^000056a0`18fd8ab8

Evaluateexpression:35192257382353=00002001`d60007d1

0:00007d1*0x10

Evaluateexpression:32016=00000000`00007d10

怎么樣,最后的size也是size=7d10,這和剛才匯編代碼中計(jì)算的是一致的,這里要乘0x10是因?yàn)閑ntry的粒度按16byte計(jì)算的,可以用!heap-h00000000004a0000;觀察下方的Granularity字段即可。

0:000!heap-h00000000004a0000

IndexAddressNameDebuggingoptionsenabled

1:004a0000

Segmentat00000000004a0000to000000000059f000(000fa000bytescommitted)

Segmentat0000000000970000to0000000000a6f000(000c9000bytescommitted)

Segmentat0000000000a70000to00000

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論