一:背景

1. 讲故事

前段时间有位朋友在分析他的非托管泄漏时,发现NT堆的_HEAP_ENTRY 的 Size 和 !heap 命令中的 Size 对不上,来咨询是怎么回事? 比如下面这段输出:


0:000> !heap 0000000000550000 -a
Index Address Name Debugging options enabled
1: 00550000
Heap entries for Segment00 in Heap 0000000000550000
address: psize . size flags state (requested size)
0000000000550000: 00000 . 00740 [101] - busy (73f)
0000000000550740: 00740 . 00110 [101] - busy (108) 0:000> dt nt!_HEAP_ENTRY 0000000000550740
ntdll!_HEAP_ENTRY
+0x000 UnpackedEntry : _HEAP_UNPACKED_ENTRY
+0x000 PreviousBlockPrivateData : (null)
+0x008 Size : 0xa6a7
+0x00a Flags : 0x33 '3'
+0x00b SmallTagIndex : 0x75 'u'
...

从输出中可以看到,用 !heap 命令的显示 0000000000550740size=0x00110 ,而 dt 显示的 size=0xa6a7,那为什么这两个 size 不一样呢? 毫无疑问 !heap 命令中显示的 0x00110 是对的,而 0xa6a7 是错的,那为什么会错呢? 很显然 Windows 团队并不想让你能轻松的从 ntheap 上把当前的 entry 给挖出来,所以给了你各种假数据,言外之意就是 size 已经编码了。

原因给大家解释清楚了,那我能不能对抗一下,硬从NtHeap上将正确的size给推导出来呢? 办法肯定是有办法的,这篇我们就试着聊一聊。

二:如何正确推导

1. 原理是什么?

其实原理很简单,_HEAP_ENTRY 中的 Size 已经和 _HEAP 下的 Encoding 做了异或处理。


0:004> dt nt!_HEAP
ntdll!_HEAP
...
+0x07c EncodeFlagMask : Uint4B
+0x080 Encoding : _HEAP_ENTRY
...

那如何验证这句话是否正确呢?接下来启动 WinDbg 来验证下,为了方便说明,先上一段测试代码。


int main()
{
for (size_t i = 0; i < 10000; i++)
{
int* ptr =(int*) malloc(sizeof(int) * 1000); printf("i=%d \n",i+1);
Sleep(1);
}
getchar();
}

既然代码中会用到 Encoding 字段来编解码size,那我是不是可以用 ba 在这个内存地址中下一个硬件条件,如果命中了,就可以通过汇编代码观察编解码逻辑,对吧? 有了思路就可以开干了。

2. 通过汇编观察编解码逻辑

因为 malloc 默认是分配在进程堆上,所以用 !heap -s 找到进程堆句柄进而获取 Encoding 的内存地址。


0:004> !heap -s ************************************************************************************************************************
NT HEAP STATS BELOW
************************************************************************************************************************
LFH Key : 0x64ffdd9683678f7e
Termination on corruption : ENABLED
Heap Flags Reserv Commit Virt Free List UCR Virt Lock Fast
(k) (k) (k) (k) length blocks cont. heap
-------------------------------------------------------------------------------------
00000000004a0000 00000002 2432 1544 2040 50 12 2 0 0 LFH
0000000000010000 00008000 64 4 64 2 1 1 0 0
------------------------------------------------------------------------------------- 0:004> dt nt!_HEAP 00000000004a0000
ntdll!_HEAP
+0x000 Segment : _HEAP_SEGMENT
...
+0x07c EncodeFlagMask : 0x100000
+0x080 Encoding : _HEAP_ENTRY
... 0:004> dx -r1 (*((ntdll!_HEAP_ENTRY *)0x4a0080))
(*((ntdll!_HEAP_ENTRY *)0x4a0080)) [Type: _HEAP_ENTRY]
[+0x000] UnpackedEntry [Type: _HEAP_UNPACKED_ENTRY]
[+0x000] PreviousBlockPrivateData : 0x0 [Type: void *]
[+0x008] Size : 0x8d69 [Type: unsigned short]
[+0x00a] Flags : 0xfd [Type: unsigned char]
... 0:004> dp 00000000004a0000+0x80 L4
00000000`004a0080 00000000`00000000 000076a1`cefd8d69
00000000`004a0090 0000ff00`00000000 00000000`eeffeeff

可以看到 Encoding 中的 Size 偏移是 +0x008,所以我们硬件条件断点的偏移值是 0x88 ,命令为 ba r4 00000000004a0000+0x88 ,设置好之后就可以继续 go 啦。

从图中可以看到在 ntdll!RtlpAllocateHeap+0x55c 方法处成功命中,从汇编中可以看到。

  1. eax: 这是 Encoding ,即我们硬件断点。

  2. edi: 某个 heap_entry 的 size 掩码值。

最后就是做一个 xor 异或操作,也就是正确的 size 值。

0:000> r eax,edi
eax=cefd8d69 edi=18fd8ab8
0:000> ? eax ^ edi
Evaluate expression: 3590326225 = 00000000`d60007d1
0:000> ? 07d1 * 0x10
Evaluate expression: 32016 = 00000000`00007d10

可以看到最后的size=7d10, 这里为什么乘 0x10,过一会再说,接下来我们找一下 edi 所属的堆块。

3. 寻找 edi 所属的堆块

要想找到所属堆块,可以用内存搜索的方式,再用 !heap -x 观察即可。


0:000> s-d 0 L?0xffffffffffffffff 18fd8ab8
00000000`005922b8 18fd8ab8 000056a0 004a0150 00000000 .....V..P.J..... 0:000> !heap -x 00000000`005922b8
Entry User Heap Segment Size PrevSize Unused Flags
-------------------------------------------------------------------------------------------------------------
00000000005922b0 00000000005922c0 00000000004a0000 00000000004a0000 7d10 20010 0 free 0:000> dt nt!_HEAP_ENTRY 00000000005922c0
ntdll!_HEAP_ENTRY
+0x008 Size : 0x4020
+0x00a Flags : 0xa3 ''
...

有了这些信息就可以纯手工推导了。

  1. 获取 Encoding 值。

0:000> dp 00000000004a0000+0x88 L4
00000000`004a0088 000076a1`cefd8d69 0000ff00`00000000
00000000`004a0098 00000000`eeffeeff 00000000`00400000
  1. 获取 size 值。

0:000> dp 00000000005922b0+0x8 L4
00000000`005922b8 000056a0`18fd8ab8 00000000`004a0150
00000000`005922c8 00000000`00a34020 00000000`00000000
  1. 异或 size 和 Encoding

0:000> ? 000076a1`cefd8d69 ^ 000056a0`18fd8ab8
Evaluate expression: 35192257382353 = 00002001`d60007d1 0:000> ? 07d1 * 0x10
Evaluate expression: 32016 = 00000000`00007d10

怎么样,最后的size 也是size=7d10, 这和刚才汇编代码中计算的是一致的,这里要乘 0x10 是因为 entry 的粒度按 16byte 计算的,可以用 !heap -h 00000000004a0000 观察下方的 Granularity 字段即可。


0:000> !heap -h 00000000004a0000
Index Address Name Debugging options enabled
1: 004a0000
Segment at 00000000004a0000 to 000000000059f000 (000fa000 bytes committed)
Segment at 0000000000970000 to 0000000000a6f000 (000c9000 bytes committed)
Segment at 0000000000a70000 to 0000000000c6f000 (00087000 bytes committed)
Flags: 00000002
ForceFlags: 00000000
Granularity: 16 bytes

4. 总结

这就是解答异或的完整推导逻辑,总的来说思路很重要,这些知识也是我们调试 dump 的必备功底,了解的越深,解决的问题域会越大。

C#非托管泄漏中HEAP_ENTRY的Size对不上是怎么回事?的更多相关文章

  1. 记一次 .NET 某工控视觉软件 非托管泄漏分析

    一:背景 1.讲故事 最近分享了好几篇关于 非托管内存泄漏 的文章,有时候就是这么神奇,来求助的都是这类型的dump,一饮一啄,莫非前定.让我被迫加深对 NT堆, 页堆 的理解,这一篇就给大家再带来一 ...

  2. 记一次 .NET 某桌面奇侠游戏 非托管内存泄漏分析

    一:背景 1. 讲故事 说实话,这篇dump我本来是不准备上一篇文章来解读的,但它有两点深深的感动了我. 无数次的听说用 Unity 可做游戏开发,但百闻不如一见. 游戏中有很多金庸武侠小说才有的名字 ...

  3. 记一次 .NET 某打印服务 非托管内存泄漏分析

    一:背景 1. 讲故事 前段时间有位朋友在微信上找到我,说他的程序出现了内存泄漏,能不能帮他看一下,这个问题还是比较经典的,加上好久没上非托管方面的东西了,这篇就和大家分享一下,话不多说,上 WinD ...

  4. .NET垃圾回收:非托管资源,IDispose和析构函数的结合

    http://blog.jobbole.com/85436/ 原文出处: 田小计划   欢迎分享原创到伯乐头条 前面一篇文章介绍了垃圾回收的基本工作原理,垃圾回收器并不是可以管理内存中的所有资源.对于 ...

  5. 利用C#Marshal类实现托管和非托管的相互转换

    Marshal 类 命名空间:System.Runtime.InteropServices 提供了一个方法集,这些方法用于分配非托管内存.复制非托管内存块.将托管类型转换为非托管类型,此外还提供了在与 ...

  6. .NET垃圾回收 – 非托管资源

    前面一篇文章介绍了垃圾回收的基本工作原理,垃圾回收器并不是可以管理内存中的所有资源.对于所有的托管资源都将有.NET垃圾回收机制来释放,但是,对于一些非托管资源,我们就需要自己编写代码来清理这类资源了 ...

  7. VB.NET 内存指针和非托管内存的应用

    介绍 Visual Basic 从来不像在C或C++里一样灵活的操纵指针和原始内存.然而利用.NET框架中的structures 和 classes,可以做许多类似的事情.它们包括 IntPtr,   ...

  8. 如何让IntPtr指向一块内存,以及托管内存与非托管内存的相互转化

    IntPtr idp= IntPtr.Zero; StringBuilder idata = new StringBuilder("000000"); string idata = ...

  9. CSharpGL(36)通用的非托管数组排序方法

    CSharpGL(36)通用的非托管数组排序方法 如果OpenGL要渲染半透明物体,一个方法是根据顶点到窗口的距离排序,按照从远到近的顺序依次渲染.所以本篇介绍对 UnmanagedArray< ...

随机推荐

  1. 013(oulipo)

    题目:http://ybt.ssoier.cn:8088/problem_show.php?pid=1455 题目描述:在母串里找子串出现的次数 题目思路:与字符串的搜索有关那就立刻找到哈希 从s[1 ...

  2. C# / VB.NET 将Html转为Word

    本文分享以C#程序代码为例,实现将Html文件转换Word文档的方法(附VB.NET代码).在实际转换场景中可参考本文的方法,转换前,请按照如下方法引用Word API的dll文件到Visual St ...

  3. P3480 [POI2009]KAM-Pebbles 题解

    题目链接 首先,这道题看上去就是个博弈论,很显然的 \(Nim\) 游戏. 因为每一个的取法都和它的上一位有关. 有一种非常显然的转换方式 :我们把这若干堆石子从前向后做一个差分 . 我们记 \(a_ ...

  4. electron+vue 环境搭建

    一.环境介绍及会遇到的困难 electron是一款比较流行的桌面可视化开发工具,通过html+js+css实现桌面应用,优点就是多平台开发以及UI好看.缺点是外网npm仓库速度慢.话不多说开始我的教程 ...

  5. 总结vue 需要掌握的知识点

    使用的开发工具是webstorm,它是默认就安装好了vuejs插件,idea要使用的话,需要安装一下该插件 一.快速搭建项目vue-cli 脚手架(Vue2.0) 1.Vue CLI使用前提 –Nod ...

  6. NOI / 1.1编程基础之输入输出全题详解(8515字)

    目录 01:Hello, World! 02:输出第二个整数 03:对齐输出 04:输出保留3位小数的浮点数

  7. [spring]spring的bean自动装配机制

    7.bean的自动装配 是spring满足bean依赖的一种方式 spring会在上下文中自动寻找,并自动给bean装配属性 spring的装配方式: (1)手动装配 在people类中依赖了cat和 ...

  8. 特殊的阻塞队列 - java.util.concurrent.SynchronousQueue 分析

    描述 SynchrounousQueue 是一个比较特殊的无界阻塞队列并支持非公平和公平模式,严格意义上来说不算一个队列,因为它不像其他阻塞队列一样能有容量,它仅有一个指向栈顶的地址,栈中的节点由线程 ...

  9. Vue3系列1--配置环境和创建项目

    1.安装nodejs(建议最新版本) 下载地址:下载 | Node.js 中文网 在安装的过程中建议不要装在C盘,安装完成配置环境变量,并且建议讲缓存路径更改. 安装完成后通过查看nodejs版本和n ...

  10. C#里如何简单的校验时间格式

    前言: 晚上打算睡觉的时候,群里反馈订单接收失败,开工排查问题,日志显示验签失败,发现一个蛮有意思的BUG,总算有了一个写作的素材 场景描述 本次的场景属于比较常见的收单API,对第三方的订单进行签名 ...