Windbg技巧: 利用C++类对象的虚拟函数表指针在内存中搜索对象

最新推荐文章于 2024-06-11 13:37:30 发布
最新推荐文章于 2024-06-11 13:37:30 发布
阅读量4.6k 收藏 2
点赞数 3
分类专栏: 软件调试 文章标签: c++ 编译器 x86 string 优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blog_index/article/details/7016696
版权

Windbg技巧一例:

利用C++类对象的虚拟函数表指针在内存中搜索对象 -- by: 张佩

 

Windbg是Windows系统下的调试利器,但即便有了windbg,也有力不从心的时候。我最近对release版本的驱动程序调试得较多,最大的困扰是虽然有私有符号,但在切换堆栈帧的时候,大多数情况下无法定位局部变量,从而使得信息有效性极大降低。编译器对Release版本进行了多种优化,这一次影响到的局部变量优化。局部变量优化则有两种情况,第一种是局部变量A直接保存在寄存器中,而不在栈上申请空间;第二种是在栈上申请空间,但当变量A不再被使用时,新的局部变量B将覆盖A的位置,这样变量A的有效信息将消失。

有时候我通过windbg的搜索命令(s),可以多少化解优化带来的困扰。

1.    内存搜索

关于内存搜索,一篇很有趣的文章是调试专家张银奎写的小文《从堆里寻找丢失的数据》。他记述了一次直接在IE浏览器中写文章而上传失败后,无法通过IE网页找回文章内容的经历。但作者最终又找回了自己的文章,方法则是手动在IE进程的堆内存中搜索关键字并定位内存块。读之趣味盎然。

内存搜索的原理很简单,计算机处理的所有数据,都应该保存在内存或页文件上。通过搜索系统或进程的内存地址空间,就可以找到所有可能存在的内存数据。由于内存空间是无比庞大的,在x86系统上用户和系统地址空间各为2G,x64平台上则更打得惊人。在庞大的数据海洋中,定位几个字节是一个极缓慢的过程。玩游戏的很多都试过游戏编辑器,它使用的也就是这个方法,通过关键字在内存中定位某个关键值并修改。

如果能够存在字符串是很幸运的事情,但在程序里面存在特征字符串的可能性很低。如果我要定位一个类对象,有什么好办法吗?

2.    虚拟函数表指针

C++类里面只有存在一个虚拟函数,编译器就会为这个类创建一张唯一的虚拟函数表,并把类的虚拟函数指针保存在表中。虚拟函数表是唯一的,存在于某个固定的地方。类对象为了能够使用它,需要有一个内部指针,这个指针即虚拟函数表指针(vftable)。

假设在程序里面有下面的两个最简单的类继承关系:

class baseClass
{
	bool m_bInit;
public:
	baseClass(){m_bInit = false;}
	virtual bool inti();
};

class impClass:public baseClass
{
public:
	impClass(){};
};

bool baseClass::inti()
{
	m_bInit = true;
	return true;
}

int _tmain(int argc, _TCHAR* argv[])
{
	impClass obj;
	return 0;
}
 因为基类baseClass中存在一个虚拟函数,所以baseClass类就有一张虚拟函数表。而impClass继承了baseClass,也就同时继承了它的虚拟函数,从而也就需要一张虚拟函数表。并且注意,虽然impClass没有定义新的虚拟函数,但它依旧有一张属于自己的虚拟函数表,而不是和基类共用同一张表。

编译器给每个虚拟函数表指定了唯一的名称,由于这是编译器指定的,所以我们往往不好说名称会是什么,并且不同的编译器一定有不同的命名策略,得到的名称可能就不同。这样,我们且用通配符*把所有的名称列出来看一看。使用下面的命令:

0:000:x86> x baseClass::*
00a714d0 baseClass::baseClass (void)
00a713f0 baseClass::inti (void)
00a7574c baseClass::`vftable'= <no type information>
很显然,我们找到了属于based类的名为 baseClass::`vftable'的虚拟函数表,使用dps命令列举函数表中的内容如下: 
0:000:x86> dps 00a7574c
00a7574c  00a711f4win32!ILT+495(?intibaseClassUAEXXZ)
00a75750  00000000
同理再看看impClass类的情况: 
0:000:x86> x win32!impClass::*
00a71c50 win32!impClass::impClass (void)
00a7574c win32!impClass::`vftable' = <no type information>
00a75740win32!impClass::`vftable' = <no type information>
 

0:000:x86> dps 00a75740
00a75740  00a711f4win32!ILT+495(?intibaseClassUAEXXZ)
00a75744  00000000
现在我们再看看如果有一个impClass类对象obj,它该是怎样的成员构成: 
0:000:x86> dt /b obj
Local var @ 0x29f8b8 Type impClass
   +0x000 __VFN_table :0x00a75740
   +0x004 m_bInit          : 0

 0:000:x86> ?? sizeof(obj)
unsigned int 8

0:000:x86> dd 0x29f8b8 L2
0029f8b8  00cd5740 cccccc00
也就是说,对于一个impClass类型的对象而言,它内部仅有4个字节的内容,这个内容就是一个指向impClass虚拟函数表的指针。这样一来,我们就很有可以通过寻找这个指针而定位此对象。

3.    Windbg的内存搜索命令

确定了有可用的关键字后,我们开始下一步的工作。Windbg调试器提供了一个内存搜索命令:s(英文单词search的首字母)。这条命令的语法定义如下:

Syntax:

s [-[[Flags]]Type]Range Pattern
s -[[Flags]]vRange Object
s -[[Flags]]saRange
s -[[Flags]]suRange

参数Type是被搜索的关键字类型:

Type          Description
b                 Byte (8 bits)
w                WORD (16 bits)
d                 DWORD (32 bits)
q                 QWORD (64 bits)
a                 ASCII string(not necessarily a null-terminated string)
u                 Unicode string(not necessarily a null-terminated string)

参数Range是搜索范围。在32位系统的用户进程中,如果我想遍历整个进程用户地址空间,一般会使用下面的方式来定义我的搜索范围:

0x0 L?80000000(从用户空间起始地址,到结束地址)

如果嫌上面的范围太大,会拖慢搜索进度,则可以先搜索0-0x20000000,然后次第递增。如果在32位系统内核中调试,则应该把起始地址定为0x80000000。

参数Pattern即被搜索的关键字。关于S命令的更详细描述,可参考windbg帮助文档(本文未描述到的Flags参数,可被用来进行递增搜索,即可在前一次搜索的结果上进行再次搜索)

下面的示例是搜索含有本文中impClass::`vftable`地址的内存:

0:000:x86> s -d 0 L?80000000 0x00cd5740
0029f8b8  00cd5740 cccccc00cccccccc 0029f914  @W............).
00cd2130  00cd5740 5ff8458bc4815b5e 000000cc  @W...E._^[......
通过搜索整个用户内存,找到了两个可能结果,而为了判断搜索结果是否正确,再使用一些其他的特征值进行判断是必要的。在我们这里例子里,使用dt命令对可能的结果进行成员变量解析,结果如下:  

0:000:x86> dt 0029f8b8 impClass
win32!impClass
   +0x000 __VFN_table :0x00cd5740
   +0x004 m_bInit          : 0
 

0:000:x86> dt 00cd2130 impClass
win32!impClass
   +0x000 __VFN_table :0x00cd5740
   +0x004 m_bInit          : ffffffffffffff8b
从上面的结果来看,很明显第二个地址则是错误的,而第一个地址则极可能是正确的。

4.    小结

如果要在茫茫人海中找一个人,非得有面貌特征才行。内存搜索亦是如此。发现了虚拟函数表的这个价值令我激动不已。在一个已破损的调用栈里面寻找结构体或类对象指针是一件非常痛苦的事情,而本文所介绍的借助于虚拟函数表寻找类对象的方法,能够在一定程度上减轻这种痛苦。当然这种方法有很大局限性,首先它只能运用于含有虚拟函数的类对象身上,其次搜索过程可能很费时,而对于内存搜索的结果还需进一步的甄别才能得到有用信息。

多多少少,把这一技巧介绍给用得上的人。

参考文档:

张银奎 《从堆里寻找丢失的数据》http://advdbg.org/blogs/advdbg_system/articles/3413.aspx

 


张佩
关注
专栏目录
初次使用Windbg调试简单C++程序
bcbobo21cn的专栏
01-22 897
windbg调试C++应用程序初步;
使用Windbg排查C++程序内存泄漏问题
dvlinker的技术专栏
11-12 1万+
详细讲述如何使用Windbg去定位Windows C++程序内存泄漏。
windbg 内存搜索 s
CAir2的专栏
07-23 2346
s 内存搜索。 具体更复杂的的s命令可以通过.hh查看该命令具体介绍。 索索指定范围内的字符串 s -sa Range#搜索Range范围内的ansi字符串 s -su Range#搜索Range范围内的unicode字符串 s -a Range text#搜索Range范围内的指定的ansi字符串 s -a Range text#搜索Range范围内的指定的unicode字符串 eg:搜索起始地址为00fc0000 ,长度为0x100范围内的ansi字符串 s -sa 00fc0000 00f
Windbg之"查看内存"命令
weixin_34148456的博客
11-23 234
查看局部变量 dv /i /V 查看this dv this dt this dt @@C++(this->m_value) // 都行 查看静态对象 1) x // 得到对象地址. 2) dt type 对象地址. 转载于:https://www.cnblogs.com/Happylong123hehe/archive/2011/11/23/2262230...
Windbg_13-Windbg搜索
qq_33168924的博客
11-25 2054
1.内容概要: s 命令搜索内存 在进程的虚拟内存空间找到想要的数据 符号搜索 不记得符号全名的情况下使用符号搜索找到符号 搜索符号引用 搜索符号引用的意思是:找到使用符号(函数或者地址,变量)的地方 1.1:s 命令搜索内存 内存搜索是调试器的常见操作,在windbg搜索内存使用的是s命令,下面讲解s命令的用法: 在指定范围内搜索ASCII字符或者UNICODE字符 s - [fl...
windbg正确搜索堆上和栈上内存方法
如鹿渴慕泉水的专栏
11-18 232
windbg正确搜索堆上和栈上内存方法
C++软件调试与异常排查从入门到精通系列文章汇总
热门推荐
dvlinker的技术专栏
06-29 17万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
C++软件调试技术】C++软件开发维护过程典型软件异常问题的排查与总结
dvlinker的技术专栏
04-15 4万+
本文以问答的方式进行展开,罗列了C++软件日常开发和维护遇到的多个软件调试问题及有代性的场景,给出详细的处置思路和处理办法,以供大家借鉴和参考。
C/C++面试题2「虚函数、多态、内存管理与软件调试篇」
dvlinker的技术专栏
10-01 5303
C/C++面试题分享「虚函数、多态、内存管理与软件调试篇」
引发C++程序内存错误的常见原因分析与总结
最新发布
dvlinker的技术专栏
06-11 1万+
引发C++程序内存错误的常见原因分析与总结
windbg调试命令大全
02-21
windbg调试命令大全 Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来分析dump数据。
C++对象内存的探索
MaxLykoS的博客
11-19 329
一. 内存的存储 C/C++编译的程序占用的内存分为: 栈区(stack): 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。比如Class a(),这个a就是在栈里的,超出变量的生存周期会自动释放。 堆区(heap):由程序员new,new出来的内存需要手动或编程delete掉,否则反复new会发生内存泄漏。进程结束后,系统会全部释放。 全局区(static):全局变量和静态变量的存储是放在一块的。 文字常量区:常量字符串就是放在这里的,程序结束后由系统释放。 程序代码区:存放函数体的二进制代
个人对内存对象包含对象的理解
weixin_34281537的博客
03-27 149
我们想要调用手机的充电功能,但是实际上我们调用的是电池充电的功能,但是出现了空指针异常,因为手机类的电池(这个属性)是成员变量,在测试类new一个手机时初始化默认为null(空的什么都不是,不能调用方法)--------->分析怎么让这个cell内存空间存的不是null-------->在调用充电功能的方法构造一个cell(cell = new Cell() ;),那样他就成为了...
使用Windbg分析C++虚函数原理
肖邦的夜曲的专栏
12-17 753
要想学好C++,就得熟悉C++对象模型。如果能利用好调试工具,比如windbg、GDB等,就能够更快速的掌握C++对象模型原理。本系列文章是通过windbg来深入分析C++对象原理,以便更好的理解C++相关知识点。
windbg 查看结构体_图解windbg查看Win7结构体
weixin_33708562的博客
02-11 576
首先用windbg打开notepad.exe;dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。下面用dt命令查看Win7结构体;查看peb结构; 查看eprocess结构; 查看特定地址的eprocess结构内容; *是通配符;显示所有peb打头的结构体名称; 枚举ntkrnlmp带"Object"的结构体名称;没有,本机记事本没载入nt...
windbg 查看结构体_windbg跟踪ZwOpenFile获取打开的文件名
weixin_34792402的博客
01-13 254
跟踪ZwOpenFile的笔记,确定参数的传递方式是按照从右到左的方式入栈,和c的调用方式一样。下断点ZwOpenFile断后的堆栈如下:nt!ZwOpenFilent!MmLoadSystemImage+0x266nt!IopLoadDriver+0x370nt!PipCallDriverAddDeviceQueryRoutine+0x235nt!RtlpCallQueryRegistryRo...
使用WinDBG + SOS谈对象大小及字符串的结构
weixin_34341117的博客
12-01 89
昨天我们使用了一个最最简单的小实验,来检查相同类型的不同对象大小是否相同。当然,我们很轻易地“验证”得出,不同长度的字符串大小是不一样的。不过这种面现象其实很难说明问题,因此我现在还是用WinDBG + SOS来进行一些检查,希望可以得到一些面上看不出来的信息。 准备工作 首先,您需要先去下载并安装WinDBG(不过,其实它是纯绿色的)。我的机器是32位系统,如果您使用64位的机器进行实验...
c++搜索内存、修改内存
weixin_30267691的博客
11-25 2960
首先写一个是测试程序(game.exe)代码如下: #include <windows.h> #include <TLHELP32.H> #include <stdio.h> int g_nNum; void main(int argc, char* argv[]) { int i=198; g_nNum=1003...
如何获取虚指针
Pandaria的专栏
09-16 881
static union      {          int iVal;          Func * vptr;      };      iVal = *((int*)pThis+iOffset);      return vptr; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值