一:背景

1. 讲故事

最近经常遇到有朋友反馈,在 x64 环境下如何提取线程栈中的方法参数,熟悉 x64 调用协定的朋友应该知道,这种协定范围下,方法的前四个参数都是用寄存器传递的,比如rcx,rdx,r8d,r9d 四个寄存器,由于寄存器存值的临时性,它的值容易被后面的逻辑给征用了,那这种情况下还有没有办法提取出来呢? 说实话,全靠运气,为什么这么说呢? 如果这个在方法的栈初始化过程中有临时的保存在线程栈中的话,那恭喜你,可以成功给捞出来。

接下来通过一个小案例来深入的聊一下。

二:案例分析

1. 一个案例演示

为了方便讲述,这里我用 Marshal 在 ntheap 上分配堆块,然后提取 Marshal.FreeHGlobal 方法的用户句柄,参考代码如下:



        static void Main(string[] args)

        {

            //1. 分配 堆块

            IntPtr ptr = Marshal.AllocHGlobal(sizeof(int));

            Console.WriteLine("ptr= 0x{0:X2}", ptr);

            //2. 写入数据

            var num = int.MaxValue;

            Marshal.WriteInt32(ptr, num);

            Console.WriteLine("num 已写入 ptr= 0x{0:X2} 堆块", ptr);

            Debugger.Break();

            //3. 释放 堆块

            Marshal.FreeHGlobal(ptr);

            Console.WriteLine("ptr= 0x{0:X2} 堆块成功释放", ptr);

        }

熟悉 ntheap 的朋友都知道,如果在调试的环境下使用 FreeHGlobal 方法会命中底层的 ntdll!RtlpValidateHeap 方法,只要在这地方下个断点即可,参考代码如下:



0:000> bp ntdll!RtlpValidateHeap

0:000> g

Breakpoint 0 hit

ntdll!RtlpValidateHeap:

00007ffe`8e92a784 48895c2410      mov     qword ptr [rsp+10h],rbx ss:00000021`2037e078=00007ffd00000000

0:000> k 10

 # Child-SP          RetAddr               Call Site

00 00000021`2037e068 00007ffe`8e9295f5     ntdll!RtlpValidateHeap

01 00000021`2037e070 00007ffe`8e855cc1     ntdll!RtlDebugFreeHeap+0x99

02 00000021`2037e0d0 00007ffe`8e855b74     ntdll!RtlpFreeHeap+0xc1

03 00000021`2037e280 00007ffe`8e8547b1     ntdll!RtlpFreeHeapInternal+0x464

04 00000021`2037e340 00007ffe`8c33934f     ntdll!RtlFreeHeap+0x51

05 00000021`2037e380 00007ffd`d4af5c7c     KERNELBASE!LocalFree+0x2f

06 00000021`2037e3c0 00007ffd`7b132a10     System_Private_CoreLib!System.Runtime.InteropServices.Marshal.FreeHGlobal+0x4c [/_/src/libraries/System.Private.CoreLib/src/System/Runtime/InteropServices/Marshal.Windows.cs @ 144]

07 00000021`2037e490 00007ffd`dacaae93     Example_18_1_1!Example_18_1_1.Program.Main+0xd0 [D:\skyfly\18.20230322\src\Example\Example_18_1_1\Program.cs @ 21]

...

从代码中可以看到当释放堆块时果然调用了这个函数,接下来有一个需求,我想知道 KERNELBASE!LocalFree 第一个参数到底是什么,有朋友肯定想说,你可以取 rcx 寄存器呀,但不要忘了,此时代码都跑到 ntdll!RtlpValidateHeap 方法了, rcx 中的值早就被其他方法给覆盖了,那怎么办呢?

2. 还有希望吗

有没有希望真的看运气了,这时候要详细观察 KERNELBASE!LocalFree 方法入口处的汇编代码,看下它有没有将 rcx 保存在栈中,如果真的有保存到栈中,那就万幸了,有了思路之后说干就干。



0:000> u KERNELBASE!LocalFree

KERNELBASE!LocalFree:

00007ffe`8c339320 48895c2410      mov     qword ptr [rsp+10h],rbx

00007ffe`8c339325 4889742418      mov     qword ptr [rsp+18h],rsi

00007ffe`8c33932a 48894c2408      mov     qword ptr [rsp+8],rcx

00007ffe`8c33932f 57              push    rdi

00007ffe`8c339330 4883ec30        sub     rsp,30h

00007ffe`8c339334 488bd9          mov     rbx,rcx

00007ffe`8c339337 f6c308          test    bl,8

00007ffe`8c33933a 753f            jne     KERNELBASE!LocalFree+0x5b (00007ffe`8c33937b)

从汇编代码看真的很万幸,代码将 rcx 保存到了 rsp+8 的栈位置,接下来急需要知道这里的 rsp+8 指的是哪一块内存地址?

3. rsp+8 到底指向哪里

在 x64 平台下,为了最大化的利用寄存器,方法栈帧使用一个 rsp 来标记栈空间,而不像 32bit 平台用 ebpesp 两个寄存器来联合承载,参考 k 命令输出。



0:000> k 8

 # Child-SP          RetAddr               Call Site

00 00000021`2037e068 00007ffe`8e9295f5     ntdll!RtlpValidateHeap

01 00000021`2037e070 00007ffe`8e855cc1     ntdll!RtlDebugFreeHeap+0x99

02 00000021`2037e0d0 00007ffe`8e855b74     ntdll!RtlpFreeHeap+0xc1

03 00000021`2037e280 00007ffe`8e8547b1     ntdll!RtlpFreeHeapInternal+0x464

04 00000021`2037e340 00007ffe`8c33934f     ntdll!RtlFreeHeap+0x51

05 00000021`2037e380 00007ffd`d4af5c7c     KERNELBASE!LocalFree+0x2f

06 00000021`2037e3c0 00007ffd`7b132a10     System_Private_CoreLib!System.Runtime.InteropServices.Marshal.FreeHGlobal+0x4c [/_/src/libraries/System.Private.CoreLib/src/System/Runtime/InteropServices/Marshal.Windows.cs @ 144]

07 00000021`2037e490 00007ffd`dacaae93     Example_18_1_1!Example_18_1_1.Program.Main+0xd0 [D:\skyfly\18.20230322\src\Example\Example_18_1_1\Program.cs @ 21]

接下来的问题是: Child-SP 和 KERNELBASE!LocalFree 方法中的 rsp 到底是什么关系? 要回答这个问题,需要非常清楚 Child-SP 是如何标记栈帧的,画个图如下:

从图中可以清晰的看到:Child-SP 标记的是子方法中第一个参数的位置,而方法入口处的 RSP 指向的是该方法的返回地址 RIP 的位置,比 Child-SP 小一个指针单元。

有朋友可能要问为什么是 RIP 的位置,这是因为汇编的 call 指令会隐式的如下执行。



PUSH RIP

SUB ESP,8

有了这些基础之后,接下来就好办了,计算公式为:

rsp = Child-SP - 0x8

那么 rsp + 0x8 = Child-SP - 0x8 + 0x8 = Child-SP = 000000212037e3c0,接下来用 windbg 来验证下。



0:000> dp 000000212037e3c0 L1

00000021`2037e3c0  00000141`a81f1f20

0:000> !heap -x 00000141`a81f1f20

Entry             User              Heap              Segment               Size  PrevSize  Unused    Flags

-------------------------------------------------------------------------------------------------------------

00000141a81f1f10  00000141a81f1f20  00000141a8100000  00000141a8100000        40        90        3c  busy extra fill

大家再回头看下 Console 界面的输出,果然就是我苦苦寻求的 ptr= 0x141A81F1F20 地址。

三:总结

这是一篇非常有用的经验分享帖,相信你在dump分析中肯定会用的上,总的来说,由于方法参数是通过寄存器传递的,能不能成功捞取需要你仔细观察汇编代码才能知道。

世间美好,相信的人都能得到。

如何提取 x64 程序那些易失的方法参数的更多相关文章

  1. Non-Volatile Register 非易失性寄存器 调用约定对应寄存器使用

    非易失性寄存器(Non-volatile register)是它的内容必须通过子程序调用被保存的一个寄存器.如果一个程序改变了一个非易失性寄存器的值,它必须保存在改变这个寄存器之前堆栈中保存旧的值和在 ...

  2. 关于C#多线程、易失域、锁的分享

    一.多线程 windows系统是一个多线程的操作系统.一个程序至少有一个进程,一个进程至少有一个线程.进程是线程的容器,一个C#客户端程序开始于一个单独的线程,CLR(公共语言运行库)为该进程创建了一 ...

  3. C#易失域、锁的分享,多线程

    C#多线程.易失域.锁的分享 一.多线程 windows系统是一个多线程的操作系统.一个程序至少有一个进程,一个进程至少有一个线程.进程是线程的容器,一个C#客户端程序开始于一个单独的线程,CLR(公 ...

  4. 解决waveInOpen录音编译x64程序出错的问题

    1.之前也碰到过x86程序升级为x64程序,关键点是类型大小的使用. 之前同事碰到过一个用int表示指针的程序,程序改为x64会出错,找原因找了半天. 2.今天我也碰到了,使用aveInOpen录音, ...

  5. C++ x86程序与x64程序中,各种内置类型的大小比较

    代码: #include <iostream> #include <cstdio> #include <list> #include <string> ...

  6. Netty:一种非易失堵塞client/server相框

    Netty:一种非易失堵塞client/server相框 作者:chszs.转载需注明.博客主页:http://blog.csdn.net/chszs Netty是一个异步事件驱动的网络应用框架,为J ...

  7. Everspin非易失性MRAM切换技术

    切换MRAM技术 切换MRAM使用1个晶体管,1个MTJ单元来提供简单的高密度存储器.Everspin使用获得专利的Toggle电池设计,可提供高可靠性.数据在温度下20年始终是非易失性的. 在读取期 ...

  8. 提取全局应用程序集中的dll

    如何提取全局应用程序集中的dll GAC路径:C:\WINDOWS\assembly 在资源管理器中打开这个路径看到的东西不能复制,右键中也只有 “卸载” 和 “属性” 两个菜单. 在命令提示符下切换 ...

  9. 航空航天专用Everspin非易失性MRAM存储器

    TAMU是由瑞典乌普萨拉的Ångström航空航天公司(ÅAC)开发的高级磁力计子系统.TAMU的目的是提供地球磁场的磁力计数据,以便与子画面观测相关.实验性TAMU由使用领先技术制造的四种类型的设备 ...

  10. 提高ASP.NET应用程序性能的十大方法

    一.返回多个数据集 检查你的访问数据库的代码,看是否存在着要返回多次的请求.每次往返降低了你的应用程序的每秒能够响应请求的次数.通过在单个数据库请求中返回多个结果集,可以减少与数据库通信的时间,使你的 ...

随机推荐

  1. iOS开发--APP性能检测方案汇总

    1 . CPU 占用率 CPU作为手机的中央处理器,可以说是手机最关键的组成部分,所有应用程序都需要它来调度运行,资源有限.所以当我们的APP因设计不当,使 CPU 持续以高负载运行,将会出现APP卡 ...

  2. 第二课 如何安装java

    1.三大版本 JDK: Java Development Kit JRE: Java Runtime Environment JVM: JAVA Virtual Machine 2.java开发环境搭 ...

  3. count(1) and count(*),count(字段)区别及效率比较

    执行结果: count(1)和count(*)之间没有区别,因为count(*)count(1)都不会去过滤空值, count(字段) 会统计该字段在表中出现的次数,忽略字段为null 的情况.即不统 ...

  4. Arthas 查询服务器内存数据

    1.打开Arthas所在位置 eg:/home 2.java -jar arthas-boot.jar 运行jar包 3.选择要执行的java jar包 eg : 1 4.执行查看命令vmtool - ...

  5. HidController控件下载安装

    用Delphi 或 C++ 开发 USB 接口时要用到的 HidController控件,如果你找不到去哪下载参考这里. 下载地址:https://sourceforge.net/projects/j ...

  6. js 将多层json对象 转化为一层json

    const parse = data => { const uid = `uid_${Date.now()}`; const process = (input, prefix = '', jso ...

  7. 十大经典排序之归并排序(C++实现)

    归并排序 思路:(分而治之的思想) 1.申请空间,使其大小为两个已经排序序列之和,该空间用来存放合并后的序列: 2.设定两个指针,最初位置分别为两个已经排序序列的起始位置: 3.比较两个指针所指向的元 ...

  8. kubeadm搭建k8s

    一.kubeadm 部署 K8S 集群架构 主机名 IP地址 安装组件 master(2C/4G,cpu核心数要求大于2) 192.168.160.20 docker.kubeadm.kubelet. ...

  9. 【Unity】阅读LuaFramework_UGUI的一种方法

    写在前面 我第一次接触到LuaFramework_UGUI是在一个工作项目中,当时也是第一次知道toLua.但我刚开始了解LuaFramework_UGUI时十分混乱,甚至将LuaFramework_ ...

  10. [C#]Windows窗体应用基础-1

    代码参考: using System; using System.Collections.Generic; using System.Linq; using System.Text; using Sy ...