一:背景

1. 讲故事

在我的分析之旅中,遇到过很多程序的故障和杀毒软件扯上了关系,有杀毒软件导致的程序卡死,有杀毒软件导致的程序崩溃,这一篇又出现了一个杀毒软件导致的程序非托管内存泄露,真的是分析多了什么鬼都能撞上。

前几天有位朋友找到过,我他们的程序内存在慢慢的泄露,最后程序会出现崩溃,不知道是什么导致的,让我帮忙看一下怎么回事,简单分析后发现是非托管泄露,让朋友开启了ust并在内存超出预期时抓了一个dump下来,接下来就是分析了。

二:WinDbg 分析

1. 到底是哪里的泄露

相信一直追这个系统的朋友应该知道怎么判断,很简单, 看下 MEM_COMMITHEAP 指标即可,使用 !address -summary 命令输出如下:



0:000> !address -summary

--- Usage Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal

Heap                                    678          93bd0000 (   2.308 GB)  65.39%   57.71%

<unknown>                              2610          3005d000 ( 768.363 MB)  21.26%   18.76%

Free                                    515          1e133000 ( 481.199 MB)           11.75%

Image                                  1526          118f8000 ( 280.969 MB)   7.77%    6.86%

Other                                    19           804e000 ( 128.305 MB)   3.55%    3.13%

Stack                                   390           4900000 (  73.000 MB)   2.02%    1.78%

TEB                                      73             49000 ( 292.000 kB)   0.01%    0.01%

PEB                                       1              1000 (   4.000 kB)   0.00%    0.00%

--- State Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal

MEM_COMMIT                             4477          c51f9000 (   3.080 GB)  87.25%   77.00%

MEM_FREE                                515          1e133000 ( 481.199 MB)           11.75%

MEM_RESERVE                             820          1ccc4000 ( 460.766 MB)  12.75%   11.25%

--- Largest Region by Usage ----------- Base Address -------- Region Size ----------

Heap                                        38be0000            fd0000 (  15.812 MB)

<unknown>                                     cc6000           7fd9000 ( 127.848 MB)

Free                                        f7590000           88bf000 ( 136.746 MB)

Image                                       5ab2c000            e41000 (  14.254 MB)

Other                                        8cee000           7fb0000 ( 127.688 MB)

Stack                                       14610000             fd000 (1012.000 kB)

TEB                                         ffe51000              1000 (   4.000 kB)

PEB                                         fffde000              1000 (   4.000 kB)

从卦中看,3G的提交内存,Heap 吃了 2.3G,也就表明是 NTHEAP 的泄露,这是一块非托管内存区域,一般都是 C/C++ 语言用 malloc 或者 new 分配的内存,接下来深挖下 NTHEAP 即可,使用 !heap -s 命令。



0:000> !heap -s

SEGMENT HEAP ERROR: failed to initialize the extention

NtGlobalFlag enables following debugging aids for new heaps:

    stack back traces

LFH Key                   : 0x7c31b93c

Termination on corruption : DISABLED

  Heap     Flags   Reserv  Commit  Virt   Free  List   UCR  Virt  Lock  Fast

                    (k)     (k)    (k)     (k) length      blocks cont. heap

-----------------------------------------------------------------------------

00200000 08000002  178304 138172 178304  42165  1747    56    0     34   LFH

    External fragmentation  30 % (1747 free blocks)

006c0000 08001002    1088    224   1088     18     8     2    0      0   LFH

00590000 08041002     256      4    256      2     1     1    0      0

006a0000 08001002    3136   1184   3136    153    82     3    0      0   LFH

    External fragmentation  12 % (82 free blocks)

00570000 08001002    1088    224   1088     18     8     2    0      0   LFH

...

15710000 08001002 2185152 2179432 2185152    442  1323   139    0      0   LFH

...

从卦中信息看, 15710000 吃了2.18G,也就表明它是吃内存的主力,这里简单说一下,00200000 是默认的进程堆,除了这个之外都是用非托管代码调用 Win32API 的 HeapCreate 方法创建出来的,接下来就得看下是什么代码创建的。

2. 到底是谁创建的

要想知道是谁创建的,一定要在注册表中开启 ust 选项,大家可以了解下 gflags.exe 工具,参考如下:



PS C:\Users\Administrator\Desktop> gflags /i Example_17_1_7.exe +ust

Current Registry Settings for Example_17_1_7.exe executable are: 00001000

    ust - Create user mode stack trace database

开启之后 win32api 的 HeapAlloc 方法的内部中会到注册表中看一下是否有 ust 值,如果有就会记录分配的调用栈,这样就知道是谁创建的,抓取dump后可以用windbg的 !gflag 命令看下是否开启成功,参考输出如下:



0:000> !gflag

Current NtGlobalFlag contents: 0x00001000

    ust - Create user mode stack trace database

接下来对 Heap=15710000 进行一个 block 分组,看下是否有一些有价值的信息。



0:000> !heap -stat -h 15710000

 heap @ 15710000

group-by: TOTSIZE max-display: 20

    size     #blocks     total     ( %) (percent of total busy bytes)

    2cb dea4 - 26dd40c  (9.58)

    2d7 c778 - 23675c8  (8.72)

    d0 26d64 - 1f8e140  (7.78)

    7c5 2c50 - 1584990  (5.30)

    cb 14449 - 10125e3  (3.96)

    83c 16c2 - bb6578  (2.89)

    cf9 bc4 - 98a1a4  (2.35)

    1f51 3da - 789dfa  (1.86)

    ...

从卦中数据看没有哪个size占用的特别高,接下来就依次从高往低看,发现都是和 prthook 有关,参考输出如下:



0:000> !heap -flt s 2cb

    _HEAP @ 15710000

      HEAP_ENTRY Size Prev Flags    UserPtr UserSize - state

        1571f948 005d 0000  [00]   1571f960    002cb - (busy)

        15649d70 005d 005d  [00]   15649d88    002cb - (busy)

        ...

        3ec4b900 005d 005d  [00]   3ec4b918    002cb - (busy)

        3ec4bbe8 005d 005d  [00]   3ec4bc00    002cb - (busy)

        3ec4bed0 005d 005d  [00]   3ec4bee8    002cb - (busy)

        3ec4c1b8 005d 005d  [00]   3ec4c1d0    002cb - (busy)

        ...

0:000> !heap -flt s 2d7

      HEAP_ENTRY Size Prev Flags    UserPtr UserSize - state

        15665550 005e 0000  [00]   15665568    002d7 - (busy)

        1566b930 005e 005e  [00]   1566b948    002d7 - (busy)

        1566df98 005e 005e  [00]   1566dfb0    002d7 - (busy)

        1566e288 005e 005e  [00]   1566e2a0    002d7 - (busy)

        ...

        39e3acc8 0061 0061  [00]   39e3ace0    002d7 - (busy)

        39e3c508 0061 0061  [00]   39e3c520    002d7 - (busy)

        39e3c810 0061 0061  [00]   39e3c828    002d7 - (busy)

        39e3cb18 0061 0061  [00]   39e3cb30    002d7 - (busy)

        39e3ce20 0061 0061  [00]   39e3ce38    002d7 - (busy)

0:000> !heap -p -a 3ec4c1b8

    address 3ec4c1b8 found in

    _HEAP @ 15710000

      HEAP_ENTRY Size Prev Flags    UserPtr UserSize - state

        3ec4c1b8 005d 0000  [00]   3ec4c1d0    002cb - (busy)

        771dd969 ntdll!RtlAllocateHeap+0x00000274

        153e7439 prthook!MyShowWindow+0x0001d1f9

        153e543c prthook!MyShowWindow+0x0001b1fc

        153476ab prthook+0x000276ab

0:000> !heap -p -a 39e3ce20

    address 39e3ce20 found in

    _HEAP @ 15710000

      HEAP_ENTRY Size Prev Flags    UserPtr UserSize - state

        39e3ce20 0061 0000  [00]   39e3ce38    002d7 - (busy)

        771dd969 ntdll!RtlAllocateHeap+0x00000274

        153e7439 prthook!MyShowWindow+0x0001d1f9

        153e543c prthook!MyShowWindow+0x0001b1fc

        153476ab prthook+0x000276ab

3. prthook 到底为何方神圣

从前一节的卦中数据看,貌似 prthook 在不断的弹框,在弹框中用 ntdll!RtlAllocateHeap 分配了非托管内存,那 prthook 到底是个啥呢?可以用 lmvm 看下。



0:000> lmvm prthook

Browse full module list

start    end        module name

15320000 155dc000   prthook    (export symbols)       prthook.dll

    Loaded symbol image file: prthook.dll

    Image path: C:\Windows\SysWOW64\prthook.dll

    Image name: prthook.dll

    Browse all global symbols  functions  data

    Timestamp:        Thu Jun 22 17:16:53 2017 (594B8B05)

    CheckSum:         001F4972

    ImageSize:        002BC000

    File version:     16.17.6.22

    Product version:  16.17.6.22

    File flags:       0 (Mask 3F)

    File OS:          40004 NT Win32

    File type:        2.0 Dll

    File date:        00000000.00000000

    Translations:     0804.04b0

    Information from resource tables:

        CompanyName:      Beijing VRV Software Co.,Ltd

        ProductName:      edp

        InternalName:     prthook

        OriginalFilename: prthook.dll_DB

        ProductVersion:   16, 17, 6, 22

        FileVersion:      16, 17, 6, 22

        FileDescription:  prthook_DB

        LegalCopyright:   Copyright (C) 2016 Beijing VRV Software Co.,Ltd

        Comments:         中英文版

从卦中数据看,prthook.dll 所属公司为 Beijing VRV Software Co.,Ltd,无语的是把这个第三方的dll放在Windows的系统目录 C:\Windows\SysWOW64 下,容易让人觉得有点 鸠占鹊巢,接下来查一下百度,发现是 北信源 的,截图如下:

有了这些信息,告诉朋友让客户把这个安全软件卸载掉就可以了。

三:总结

程序的故障如果不是我们的代码造成的,你想通过排查代码找出问题是不可能的事情,追过这个系列的朋友应该深有体会,常见的外在因素有:

  • 杀毒软件
  • 电磁辐射
  • 显卡问题

记一次 .NET某收银软件 非托管泄露分析的更多相关文章

  1. 记一次 .NET 某工控视觉软件 非托管泄漏分析

    一:背景 1.讲故事 最近分享了好几篇关于 非托管内存泄漏 的文章,有时候就是这么神奇,来求助的都是这类型的dump,一饮一啄,莫非前定.让我被迫加深对 NT堆, 页堆 的理解,这一篇就给大家再带来一 ...

  2. 思迅/泰格/科脉/收银软件/商超软件数据库修复解决断电造成损坏的mdb\dat文件SQL数据库 置疑 修复 恢复

    拥有专业管理软件数据库修复技术工程师,专业提供管家婆.美萍.思迅.科脉等管理软件技术服务,电脑维修\重装系统技 术服务.无法登陆打不开等出错问题处理(连接失败,请输入正确的服务器名,SQL Serve ...

  3. [Python设计模式] 第2章 商场收银软件——策略模式

    github地址: https://github.com/cheesezh/python_design_patterns 题目 设计一个控制台程序, 模拟商场收银软件,根据客户购买商品的单价和数量,计 ...

  4. 记一次 .NET 某智慧水厂API 非托管内存泄漏分析

    一:背景 1. 讲故事 七月底的时候有位朋友在wx上找到我,说他的程序内存占用8G,托管才占用1.5G,询问剩下的内存哪里去了?截图如下: 从求助内容看,这位朋友真的太客气了,动不动就谈钱,真伤感情, ...

  5. 记一次 .NET 某电子厂OA系统 非托管内存泄露分析

    一:背景 1.讲故事 这周有个朋友找到我,说他的程序出现了内存缓慢增长,没有回头的趋势,让我帮忙看下到底怎么回事,据朋友说这个问题已经困扰他快一周了,还是没能找到最终的问题,看样子这个问题比较刁钻,不 ...

  6. 读《大话设计模式》——应用工厂模式的"商场收银系统"(WinForm)

    要做的是一个商场收银软件,营业员根据客户购买商品单价和数量,向客户收费.两个文本框,输入单价和数量,再用个列表框来记录商品的合计,最终用一个按钮来算出总额就可以了,还需要一个重置按钮来重新开始. 核心 ...

  7. 互联网+下PDA移动智能手持POS超市收银开单软件

    是一套专为中小超市.专卖店设计的收银管理软件,广泛应用于中小超市(百货商店).化妆品店.婴幼儿用品店.玩具店.保健品店.茶叶店. 电器.文具图书.手机通讯器材店等行业的中小型店面店铺.该系统具有完善的 ...

  8. Atitit.收银系统模块架构attilax 总结

    Atitit.收银系统模块架构attilax 总结 1. 常规收银系统模块结构1 1.1. 商品管理1 1.2. 会员系统1 1.3. 报表系统1 1.4. 会员卡系统1 1.5. 库存管理1 2.  ...

  9. 基于C#的超市收银管理系统

    基于C#的超市收银管理系统 前序 一直在忙学习Qt有关的知识,非常有幸这学期学习了C#.让我也感觉到了一丝欣慰,欣慰的是感觉好上手啊,学了几天顿时懂了.好多控件的使用方法好类似,尽管平时上课没有怎么认 ...

  10. PDA 收银系统PDA手持打印扫描枪 销售开单 收银 扫描打印一体机

    在零售方面也有很好的应用.如在一些高端品牌零售店,营业员可以随身导购,一站式完成了商品销售和收银,很是受消费者追捧,符合了企业对客户体验以及行业领先的追求. PDA收银系统是一款多功能可以取代专业收银 ...

随机推荐

  1. 基于 Wiki.js 搭建知识库系统

    前言 本文介绍如何使用 Wiki.js 搭建知识库系统. Wiki.js 官网 安装 前提准备 Wiki.js 几乎可以在任何支持 Node.js 的系统上运行.它可以运行在 Linux .Windo ...

  2. vscode编写markdown

    1. 需求分析 2. 环境搭建 1. 需求分析 最近在网上折腾了好久Markdown的写作环境,作为一个普通用户,总结一下个人对于Markdown写作环境的几点需求.由于本人刚接触Markdown不久 ...

  3. 2022 ICPC 杭州站

    gym 知乎 尝试先读题而不是写缺省源感觉不太好 E 一头雾水.F 是签到就先上去写了,结果读错题交了个样例都没过的代码,小改了一下就过了.G 不太会做.zsy 把 M 丢给我想了一下 然后 gjk ...

  4. Linux系列教程——Shell、Linux文件管理

    文章目录 Shell 1.什么是Bash shell(壳) 2.Bash Shell能干什么? 3.平时我们如何使用Shell呢? 4.Shell提示符 5.Shell基础语法 2.Bash Shel ...

  5. 如何用ppt打印9张一面,并且去除边距?

    如何用ppt打印9张一面,并且去除边距?      方法其实很简单,答主不要在ppt软件的打印选项里设置[每页打印9张幻灯片],而是使用默认的[每页打印1张幻灯片]. 然后去[打印机属性]里设置,我是 ...

  6. [WUSTCTF 2020]朴实无华

    打开网页,就显示一个Hack me ,查看源码也是啥也没有,就用御剑扫一下 发现存在robots.txt文件 根据提示,打开/fAke_f1agggg.php 还真就一个错误的flag 仔细看了看,居 ...

  7. 轻松掌握组件启动之Redis单机、主从、哨兵、集群配置

    单机配置启动 Redis安装 下载地址:http://redis.io/download 安装步骤: 1: 安装gcc编译器:yum install gcc 2: 将下载好的redis‐5.0.3.t ...

  8. 双数组字典树 (Double-array Trie) -- 代码 + 图文,看不懂你来打我

    目录 Trie 字典树 双数组Trie树 构建 字符编码 计算规则 构建 Base Array.Check Array 处理字典首字 处理字典二层字 处理字典三层字 处理字典四层字 叶子节点处理 核心 ...

  9. 在centos7上使用 docker安装mongodb挂载宿主机以及创建其数据库的用户名和密码(最新版本)

    前言 因为博主在使用docker安装mongodb并挂载时,发现在网上搜了好多都是以前版本的mongodb,并且按照他们操作总是在进入mongodb出问题,博主搞了好久终于弄好了,故写下博客,供有需要 ...

  10. APP攻防--安卓逆向&JEB动态调试&LSPosed模块&算法提取&Hook技术

    JEB环境配置 安装java环境变量(最好jdk11) 安装adb环境变量 设置adb环境变量最好以Android命名 启动开发者模式 设置-->关于平板电脑-->版本号(单机五次) 开启 ...