WinDbg解决BHO不加载

昨天zhengwei同学说他机器上的一个BHO不能正常加载，我把BHO的代码拿过来，在我的两台机器上都验证了一下，一台是Win7+IE8的环境，一台是XP+IE7的环境，都能正常加载。zhengwei的机器是IE6+XP的环境，不能正常加载，升级到IE7后，还是不能加载。排除了是操作系统，以及IE版本的原因。会不会是IE安全设置的原因呢？没有听说过IE安全设置会影响到BHO加载的，还是试了试，同时把他机器上的360也给关了。问题还是没有解决。怎么办？只有上调试器了WinDbg了。

使用WinDbg如何来找查找问题的原因。分析了一下，在我自己的机器上和他的机器上同时开WinDbg，比较能加载和不能加载两个环境下，IE加载BHO的代码执行的路径，就能够找到问题的原因。

因此，第一个问题是，IE是如何加载BHO的？映像中好像没有哪里有文档说这个问题。但是BHO是一个DLL，DLL加载有两种方式，静态加载和动态加载。BHO肯定不是静态加载（为什么？）。动态加载肯定要调用LoadLibrary或者LoadLibraryEx，每个函数又有Ansi和Unicode的两个版本，因为实际上是LoadLibraryA、LoadLibraryW、LoadLibraryExA、LoadLibraryExW四个函数。在这四个函数上设置断点，肯定能够找到断到BHO被加载（当然也可能是别的非BHO的DLL被动态加载）。其实根据经验，只要在LoadLibraryExW设置断点就可以了。好了，可以在WinDbg中开始了。

打开WinDbg，从菜单项File中选择Open Executable…，找到iexplore.exe，打开。这时调试器会断下来，使用命令 bp kernel32!LoadLibraryExW，继续执行。调试器断下后，使用kv命令看调用栈，连着看了几个，都是加载的别的DLL，不是BHO。这样看下去肯定会看到BHO被加载，算了，换个别的思路。

知道的BHO模块的名字叫做test.dll，直接设置模块加载断点就可以了。重新启动WinDbg，加载IE，设置断点 sxe ld:test.dll，继续执行，断下来了，使用kv n 0x100（n 0x100参数是指定调用栈的层数）看调用栈，调用栈如图一。

图一

第06行印证了上面的结论，确实是使用了LoadLibraryExW加载的，至于为什么是KERNELBASE而不是kernel32，是因为这是Win7上的截图，Win7上就是KERNELBASE。另外看行，IE加载BHO使用了一个重要的函数IEFRAME中CShellBrowser2类中的_LoadBrowserHelperObjects函数。好了，可以在出问题的机器上工作了。

在出问题的机器上，在IEFRAME上设置一个断点，不过，WinDbg加载IE启动时，直接bp IEFRAME!CShellBrowser2::_LoadBrowserHelperObjects，你会得到一个如下的错误，0:000> bp IEFRAME!CShellBrowser2::_LoadBrowserHelperObjects

Bp expression 'IEFRAME!CShellBrowser2::_LoadBrowserHelperObjects' could not be resolved, adding deferred bp

为什么？因为这个时候IEFrame还没有加载，WinDbg不知道你设置的是一个什么断点。因此要先通过 sxe ld:ieframe.dll设置dll加载的断点，等到ieframe加载进去后，再在_LoadBrowserHelperObjects函数上设置断点。

断下来后，再在两台机器上都单步执行，比较两台机器上执行的不一样的地方。根据经验，重点是看一下里面调用函数后的返回值。发现_LoadBrowserHelperObjects里会调用几次读注册表，但是两台机器上的返回值是一样的。接着往下看，看到调用了一个函数IEFRAME!IERegGetBoolWithPoliciesW，这个函数的返回值（eax的值）两台机器不一样，正常加载的机器上返回1，不能加载的函数上返回0。问题的范围进一步缩小。

再重新启动，走到IEFRAME!IERegGetBoolWithPoliciesW函数里面，这个函数里也显示调用了几次读注册表的函数，打开注册表看了一下，两台机器上都没有要读的表项。再往下看，调用了一个函数IEFRAME!SHRegGetBoolValueFromHKCUHKLM，从函数的名字看，是要从Current User和Local Machine两个根键下去找要读的键，看看这个函数的参数，参数如下：

很清楚，是要去在Local Machine和Current User下去找Software\Microsoft\Internet Explorer\Main的Enable Browser Extensions的值，看这个注册表项的名字，估计找到原因了。先到正常的机器上去看，Local Machine下没有这个键值，在看Current User，有，值是yes，再看出问题的机器上，值是no，改成yes，问题解决了。

小结：之前不知道有Enable Browser Extensions这样一个值可以影响注册表的加载，知道就用这么折腾了，因此把它记录下来，免得后面的同学继续这样折腾，不过Windbg确实是个好东西，Windows上的很多疑难问题，都能用它来解决，可以好好学下。