无法定位程序输入点_except_handler4_common于动态链接库msvcrt.dll

这是由于sp3加载的驱动造成的；只需要将C:\WINDOWS\system32\dwmapi.dll重新命名一下即可以解决。

可以调试程序
当系统加载到“c:\Program Files\China Mobile\Fetion\dwmapi.dll”时挂起，就是图中的"Warning: Break-in time out, suspending."，在Windows中的表现也就是弹出了上述的错误对话框，并且我们还没有点击“确定”按钮，于是程序暂时挂起。因此，我们可以判断，FeionFX.exe启动时加载的位于“c:\Program Files\China Mobile\Fetion\”目录下的dwmapi.dll在执行某个函数过程的时候遇到了错误。那么究竟是什么样的函数呢？根据错误对话框的信息，我们可以初步猜测是MSVCRT.dll中的_except_handler4_common。于是，我们需要查找一下当前进程中有关该过程的现状，所以执行"x msvcrt!_except_handler*"命令，返回的结果也在上图中的底部。在Windbg中，x是查找符号的命令，可以用来查找全局变量的地址或过程的地址。比如x kernel32!*显示Kernel32.dll中的所有可见变量，数据结构和过程。*号是通配符，代替任意的字符串，为了查找全部的，我们需要使用该通配符。（其实如果你执行“x msvcrt!_except_handler4_common”你会发现没有任何结果，也就是找不到，其实这也就是出现该错误的原因，我们后文分析。因此退一步不输入"4_common"，查找所有_except_handler过程）

结果告诉我们，进程中msvcrt.dll存有的过程有_except_handler2以及_except_handler3，而恰恰没有_except_handler4。鉴于以上返回结果，我们可以初步断定，错误的起因是因为程序不能执行MSVCRT.DLL中的_except_handler4_common过程，而且原因是当前缺少这个。此时，我们需要借助Microsoft Dependency Walker进行辅助分析并且确认。

我们启动Microsoft Dependency Walker，打开该dwmapi.dll，可以发现，该DLL文件的运行将会首先调用MSVCRT.DLL，而且下图中也标示出来了，在当前调用的MSVCRT.DLL中，缺少一个函数"_except_handler4_common"，这起好与我们看到的错误现象相以及Windbg分析的结果吻合。如下图所示：

此时，我们可以进一步断定，要么是DLL版本不对，要么就是dwmapi.dll有问题。而这个程序调用的是XP系统的%systemroot%\system32下面的MSVCRT.DLL，从相关软件官方得知，该程序就是针对XP/Vista开发的，且朋友中文版XP SP3中运行得很正常，于是我确认了一下本机该文件的版本，结果是“7.0.2600.5512 (xpsp.080413-2111)”，看来没有什么问题，是版本7.0.2600。于是我们得查一查另外一个文件了——dwmapi.dll，为什么它要载入MSVCRT.Dll并且调用其中并不存在的一个过程呢？

接下来，我们查看位于相关软件文件夹下的dwmapi.dll。察看版本信息，得到“6.0.6000.16386 (vista_rtm.061101-2205)”，问题就在这里！看到了吗？这个位于相关软件安装目录下的文件怎么会来自Vista正式发布版？？怎么会用到XP的程序执行之中？？？要知道，这个文件之所以能够使用全部功能是因为在Vista环境之下，很多新的DLL文件中带有新的函数，正好可以被它调用。那么我们猜想，是不是Vista版本下的MSVCRT.DLL就存在一个新版本——即第4版的_exception_handler4呢？我们从Microsoft Windows Vista RTM中提取出位于%systemroot%\system32下面的MSVCRT.DLL，其版本为“7.0.6001.18000 (longhorn_rtm.080118-1840)”，然后再次使用Dependency Walker打开，发现其中果然存在该新的函数！即“_except_handler4_common”。如下图所示：

到这里，问题就已经清楚了。正是由于本机的相关软件客户端在启动时调用了用于Vista的DLL组件dwmapi.dll，而该DLL又要尝试调用一个Vista下msvcrt.dll才有的过程，才出现了该错误提示。因为我们发现，该错误提示并不影响之后程序的正常使用，而且我们所使用的环境是Windows XP而非Vista，所以推断该调用dwmapi.dll的过程是非必要的，于是将其重命名或是删除到回收站，再次启动相关软件客户端，错误提示消失了，迎来的是程序正常的使用……

之后我查阅了大量的KB资料以及Visual Studio的MSDN资料，发现_except_handler是VC++编译器自带的一个内部异常处理。而版本4的_except_handler4_common handler又仅存在于Vista以及之后的系统之中。而且值得注意的是，很多这样子的错误都是由于系统中存在有来自更高级版本系统的文件造成的，而文件的来源于一般有几种，一般是修改系统时自己放进去的或者别的安装程序带入的，也有情况是盗版改版的操作系统中存有的，再有就是本例中的情形——安装程序可同时用于Windows XP以及Windows Vista。可能是由于XP英文版与中文版的环境的不同，相关软件客户端的启动选择了加载调用为Vista准备的dwmapi.dll从而产生了此错误。

注：本例中并没有介绍使用Dependency Walker的“Profile(剖析)”功能，因为该相关软件客户端的启动不是靠单文件的，因此比较复杂，而且本例中因为该错误不能成功剖析整个启动过程。借助其他工具，可以得到，其实相关软件客户端的启动过程是先通过Fetion.exe加载FetionFX.exe然后再加载“VMDotNet\v2.0.50727”下的FetionVM.exe进行的，于是我们可以只对FetionVM.exe进行剖析，而且当前环境也只能这样了。