聊一聊 .NET高级调试 内核模式堆泄露

最新推荐文章于 2024-04-23 09:32:23 发布
最新推荐文章于 2024-04-23 09:32:23 发布
阅读量1.2k 收藏 18
点赞数 24
文章标签: .net c# windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangxinchen520/article/details/135406804
版权

一:背景

1. 讲故事

前几天有位朋友找到我,说他的机器内存在不断的上涨,但在任务管理器中查不出是哪个进程吃的内存,特别奇怪,截图如下:

在我的分析旅程中都是用户态模式的内存泄漏,像上图中的异常征兆已经明确告诉你了,不是用户态程序吃的内存,那就是内核态程序吃的,比如:

  • 某些驱动程序
  • 操作系统

从概率上来说一般都是某些第三方程序内存泄露导致的,这一篇我们就来聊一聊这种问题该如何解决。

二:内核模式堆泄露分析

1. 驱动程序是如何分配内存的

相信有很多朋友都知道,用户态的程序是直接或者间接的调用 VirtualAlloc 方法来向操作系统要内存,包括 C# 的 GC 堆也是一样,它的方法签名如下:


LPVOID VirtualAlloc(
  [in, optional] LPVOID lpAddress,
  [in]           SIZE_T dwSize,
  [in]           DWORD  flAllocationType,
  [in]           DWORD  flProtect
);

那内核中的驱动程序是如何向操作系统要内存的呢?一般都是调用 ExAllocatePool2 方法来要内存的,签名如下:


DECLSPEC_RESTRICT PVOID ExAllocatePool2(
  POOL_FLAGS Flags,
  SIZE_T     NumberOfBytes,
  ULONG      Tag
);

上面有两个参数要详细解释一下:

  • Flags 参数

一般用的多的就是 POOL_FLAG_NON_PAGEDPOOL_FLAG_PAGED 两种,前者表示分配的内存是需要永久驻留内存,不可以交换到硬盘的。后者分配的内存是可以交换到硬盘的。

  • Tag 参数

这个参数的本意就是方便日后洞察内存泄露的,它强行让一块内存和这个 Tag(4byte的ascii 字符串) 做了强绑定,到时候通过这个 tag 就知道是谁分配的内存。

2. 制造内核模式堆泄露

为了能够让驱动程序泄露,可以使用微软提供的 NotMyFault 工具,这个工具利用 myfault.sys 驱动不断的向操作系统分配内存。官方网址为:https://learn.microsoft.com/zh-cn/sysinternals/downloads/notmyfault

打开 myfault 工具然后输入 40M/s 的泄露,并分配在非换页池中,同时配置下内核态转储dump, 代码和截图参考如下:


ExAllocatePool2(POOL_FLAG_NON_PAGED,40*1024*1024,"Leak");

在泄露的过程中,通过 Process Explorer 很明显的发现提交了 6.7G 的内存,其中有 4.9G 是在 NonPaged 中,即通过上图中的 POOL_FLAG_NON_PAGED 标记分配的,截图如下:

接下来在 MyFault 上切换到 Crash 选项卡,强行让操作系统蓝屏来生成 dump 文件。

3. dump 分析

拿到dump后,先通过 !vm 观察下操作系统级的虚拟内存的分布情况。


3: kd> !vm
...
Physical Memory:          2069421 (    8277684 Kb)
Available Pages:           445015 (    1780060 Kb)
ResAvail Pages:            707292 (    2829168 Kb)
Locked IO Pages:                0 (          0 Kb)
Free System PTEs:      4295052431 (17180209724 Kb)
...
Modified Pages:             11479 (      45916 Kb)
Modified PF Pages:          11479 (      45916 Kb)
Modified No Write Pages:        0 (          0 Kb)
NonPagedPool Usage:       1219892 (    4879568 Kb)
NonPagedPoolNx Usage:       24512 (      98048 Kb)
NonPagedPool Max:      4294967296 (17179869184 Kb)
PagedPool Usage:            32907 (     131628 Kb)
PagedPool Maximum:     4294967296 (17179869184 Kb)
...
NonPagedPool Commit:      1246469 (    4985876 Kb)
...
Sum System Commit:        1409562 (    5638248 Kb)
Total Private:             279673 (    1118692 Kb)

********** Sum of individual system commit + Process commit exceeds overall commit by 1952 Kb ? ********
Committed pages:          1688747 (    6754988 Kb)
Commit limit:             4166573 (   16666292 Kb)

从卦中的 NonPagedPool Usage 指标可以看到,当前的 非换页池 占用了 4.8G 内存,总计 121w 的内存页。

接下来就是要深挖下 非换页池 ,看看到底都是什么 Tag 分配的,可以使用 !poolused 2 命令。


3: kd> !poolused 2
....
 Sorting by NonPaged Pool Consumed

               NonPaged                  Paged
 Tag     Allocs         Used     Allocs         Used

 Leak       119   4991221760          0            0	UNKNOWN pooltag 'Leak', please update pooltag.txt
 ConT       238     14499840          0            0	UNKNOWN pooltag 'ConT', please update pooltag.txt
 KETR     16410      8117664          0            0	UNKNOWN pooltag 'KETR', please update pooltag.txt
 EtwB       196      7565568          2       131072	Etw Buffer , Binary: nt!etw
 2872         6      5660864          0            0	UNKNOWN pooltag '2872', please update pooltag.txt
 287R      1026      4183040          0            0	UNKNOWN pooltag '287R', please update pooltag.txt
 File      9734      3877408          0            0	File objects 
 Thre      1257      3217920          0            0	Thread objects , Binary: nt!ps
 EtwR     12141      2672640          0            0	Etw KM RegEntry , Binary: nt!etw
...

从卦中数据看,有一个神秘的 Tag=Leak 的内存分配,它分配了 119 次,总大小 4.99G。 哈哈,其实就是刚才通过 MyFault 做的 40M/s 的内存分配。

接下来的问题是:这个 Leak 是哪一个驱动程序所为呢?最简单的办法就是在各个驱动的内存空间中做内存搜索,看看谁里面有 Leak 的asc硬编码,对吧,有了这个思路,先用 lm 看看里面都有哪些 sys 。


3: kd> lm
start             end                 module name
ffffc25c`891b0000 ffffc25c`89480000   win32kbase   (deferred)             
ffffc25c`8a190000 ffffc25c`8a545000   win32kfull   (deferred)     
...                  
fffff807`22600000 fffff807`23646000   nt         (pdb symbols) 
fffff807`23c00000 fffff807`23d16000   clipsp     (deferred)             
fffff807`47f30000 fffff807`47f4b000   monitor    (deferred)             
fffff807`47f50000 fffff807`47f59000   myfault    (deferred)             
...          

Unloaded modules:
fffff807`3c6e0000 fffff807`3c6ec000   360Sensor64.sys
fffff807`31550000 fffff807`31560000   dump_storport.sys
fffff807`315a0000 fffff807`315d3000   dump_storahci.sys
fffff807`31000000 fffff807`3101e000   dump_dumpfve.sys
fffff807`26b80000 fffff807`26bac000   luafv.sys
fffff807`26b20000 fffff807`26b30000   dump_storport.sys
fffff807`26b70000 fffff807`26ba3000   dump_storahci.sys
fffff807`26bd0000 fffff807`26bee000   dump_dumpfve.sys
fffff807`28130000 fffff807`2814c000   dam.sys 
fffff807`24200000 fffff807`2420a000   360elam64.sys
fffff807`25230000 fffff807`25241000   hwpolicy.sys

接下来就是写脚本在每个 sys 的 start ~ end 区间做 s 搜索,这个脚本我就不放了,非常简单,最终就在 myfault.sys 中成功找到了 Leak 硬编码,参考如下:


3: kd> lmvm myfault
Browse full module list
start             end                 module name
fffff807`47f50000 fffff807`47f59000   myfault    (deferred)             
    Image path: \??\C:\Windows\system32\drivers\myfault.sys
    Image name: myfault.sys
    Browse all global symbols  functions  data
    Timestamp:        Fri Sep 30 00:17:31 2022 (6335C51B)
    CheckSum:         00010CED
    ImageSize:        00009000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
    
3: kd> ? fffff807`47f59000 - fffff807`47f50000
Evaluate expression: 36864 = 00000000`00009000

3: kd> s -a fffff807`47f50000 L?0x9000  "Leak"
fffff807`47f51559  4c 65 61 6b 0f 42 c1 41-8d 49 fd 8b d0 ff 15 0c  Leak.B.A.I......
fffff807`47f515c7  4c 65 61 6b 0f 42 c1 33-c9 8b d0 ff 15 a0 1a 00  Leak.B.3........

三: 总结

在过往的dump分析中都是用户态程序的泄露,内核态模式堆的的泄露还是第一次分析,不是朋友提供的这次机会,真的就没缘分啦!在这次dump分析过程中,也让大家看到了 windbg 是多么的强大!

一线码农
关注
  • 24
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ReClass.NET-KernelPlugin:一个用于ReClass.NET的简单内核级插件
05-19
ReClass.NET-内核插件 一个简单的内核级读/写/查询/信息插件,用于ReClass.NET 如果计划使用驱动程序,则需要自己签名。 前一阵子做了,但是直到昨天才完成,经过一些测试,看起来还可以。 没有从内核端添加调试功能,但是如果我能解决的话,可以在以后添加。
linux2.6.1内核源码注释
03-10
包含LINUX内核同步、信号、内存、调度、文件系统、网络系统、时钟等部分的源码注释。前后历时三年,算是干货。
Linux 系统内核级软件的调试技术(一)
07-21
今天讲Linux 系统内核级软件的调试技术(一),喜欢的同学来一起看看吧。
winform 嵌套chrome浏览器,.net开发谷歌内核浏览器。
09-24
.net winform 嵌套谷歌浏览器,flash插件已安装。直接能运行。
使用 SystemTap 调试内核
07-30
SystemTap 是一种新颖的 Linux 内核诊断工具,提供了一种从运行中的 Linux 内核快速和安全地获取信息的能力。SystemTap 是内核开发人员和系统管理员的福音,因为这使得他们可以通过编写或者重用简单的脚本来收集内核的实时数据,而不需要再忍受修改源码、编译内核、重启系统的漫长煎熬。本文介绍了 SystemTap 的安装、使用和基本原理,并用一些有趣的例子揭示了 SystemTap 提供的强大能力。
VB.net中应用CefSharp.WinForms库构建Chrome内核浏览器实例
08-25
VB.net中应用CefSharp.WinForms库构建Chrome内核浏览器实例源代码,环境为Windows 10,Visual Studio 2015,.Net FrameWorks 4.52。未包含CefSharp.WinForms的Packages文件夹以及bin下面的支持文件,请自行安装调试...
【linux内核调试】SystemTap使用技巧
panhewu9919的博客
11-17 1559
SystemTap配置、内核调试方法对比请参考【linux内核调试内核调试方法对比 1.SystemTap使用技巧 (1)定位函数位置——-l 定位内核系统调用函数在哪个文件上,以往是用source insight或者grep找: $ grep -nr 'SYSCALL_DEFINE3(open' ./ ./fs/compat.c:1075:COMPAT_SYSCALL_DEFINE3(ope...
一文带你深入了解linux驱动
aa804738534的博客
04-20 4848
很多程序员在学习技能时,盲目追求技术实现,而忽略了整个生态环境的观察和基础理论铺垫,导致学完后似是而非,不能举一反三,遇到项目依然拿不出合理的解决方案。 作为一个技术开发者,大家要明白“技术只是工具,有用的是产品”,我们要用技术去解决问题,而不是单纯地做个技术控,自我娱乐。 想要学习一门新技术,我们首先要对它有个清晰的了解,不能什么都不懂就开始往上面扑,就像很多人到庙里面就上香求佛祖保佑,可能根本都不知道这个佛是哪一路神仙。 那今天我们就先带大家来深入了解下嵌入式开发中至关重要的一环:linux驱动。 在学
10个用于C#.NET开发的基本调试工具
芝麻麻雀-Asp.Net学习之路
02-26 1198
调试软件时,工具非常重要。获取正确的工具,然后再调试时提起正确的信息。根据获取的正确的错误信息,可以找到问题的根源所在。找到问题根源所在,你就能够解决该错误了。 你将看到我认为最基本的解决在C# .NET 中错误问题的工具的列表。这些将帮助你找到任何难题的根本原因并加以解决。 除了代码中的常见问题外,一下工具还可以处理各种问题类型,包括: 性能问题 内存问题(GC压力和内存泄漏) 第三方引用库...
调试.NET程序OutOfMemoryException
web开发
09-23 569
问题简介 Out of memory异常是如何产生的 总的来说OutOfMemoryException会在两种情况下发生, 进程虚拟内存空间耗尽 系统物理内存耗尽 第二种情况我们可以参照系统进程管理器中性能选项卡,如果其中committed数值接近了limit,那说明第二种情况发生了。 不过大多数时候OutOfMemoryException发生是因为第...
Linux内核调试方法总结
weixin_34114823的博客
03-12 923
为什么80%的码农都做不了架构师?>>> ...
.net反射(Reflection)
黄瓜炒鸡蛋的博客
04-17 887
.net反射(Reflection)绕过类内部成员的访问修饰符,直接访问类的内部成员
使用示例解释.NET中的Mocking是什么?
晓风晓浪
04-19 1142
您刚刚克隆的解决方案是一个基本的Web API项目,它引用了一个包含一些Todo领域对象和服务的类库,这些对象和服务将改变一个todo项目列表。为了本教程的目的,这些元素存储在内存列表中,而不是连接到数据库。但您可以使用数据库或其他形式的数据持久化方法。然而,对于本教程的目的,我们不太关心数据的持久化,而更关心的是对这个服务进行Mocking。
Mac下删除旧版本.net sdk
文刀雨田
04-20 298
具体的命令是:sudo ./dotnet-core-uninstall remove 3.1.401 --sdk。5:然后对照版本号一个个卸载吧(目前没找到一键删除所有的命令,网上给的解决方案也不太好使)/usr/local/share/dotnet/sdk 然后就可以看到对应的文件夹消失了。好像不能直接的解决问题,我做一下补充,希望对需要删除旧版本sdk的小伙伴们有所帮助。第一次会让你输入电脑的密码,然后选择y(代表确认的意思)2:打开终端,cd切换到该文件的制定目录。remove删除的命令。
.NET高级面试指南专题二十七【享元模式介绍,通过共享对象来最大程度地减少内存使用和提高性能】
最新发布
一个专注于技术研究创新的程序员
04-23 412
类是享元工厂,负责创建并管理共享的对象。通过共享相同的圆形对象,可以减少内存使用和提高性能。内部状态是对象共享的部分,而外部状态是对象的变化部分,它们在对象被创建后可以被改变。在享元模式中,对象被分为两种部分:内部状态(类表示具体的享元类,
.NET StackExchange.Redis 操作redis
qq_41942413的博客
04-21 431
下面是一个简单的示例,展示了如何使用 C# 中的 StackExchange.Redis 库与 Redis 进行交互,包括字符串(String)、哈希(Hash)、列表(List)、集合(Set)和有序集合(Sorted Set)操作。每个命令都有一个单独的方法来执行相应的 Redis 命令。这个示例演示了如何连接到本地 Redis 实例,并分别使用字符串、哈希、列表、集合和有序集合的命令进行交互。每个命令都被封装在一个单独的方法中,使代码更清晰易读。
C#中的Task:异步编程的瑞士军刀
qq_35320456的博客
04-19 1540
C#中的Task:异步编程的瑞士军刀
C#语法知识之循环语句
AMrss的博客
04-20 465
5、循环语句。
学生选课及成绩查询管理系统的设计与开发C#(winform + sqlserver)
小张微说的博客
04-22 1921
源码来自网络 技术栈: C#的窗体程序开发 本系统未采用C#实现MDI——多文档窗口,因为考虑到C#的该技术与java类似,而暑期java实训时,曾用过类似的方法做过停车场管理系统,所以想为这次的系统注入一点新鲜的血液,所以本系统设计的主题采用了了C#C#TreeView 实现。 Sql server数据库 关注公众号【DotNet微说】,发送:学生选课及成绩查询管理系统,便可获取源码。 个人微信:iotzzh 公众号:DotNet微说 个人网站:www.iotzzh.com 登录界面 管理员主页
vb.net调用chromium内核
05-01
CefGlue是另外一个在.NET平台上调用Chromium内核的库,它通过P/Invoke技术调用Chromium内核的C++接口,在VB.NET中直接调用Chromium的函数来实现浏览器功能。具体实现方法是,首先在VB.NET中导入CefGlue的命名空间,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值