记一次 .NET某股票交易软件 灵异崩溃分析

最新推荐文章于 2024-04-23 09:37:43 发布
最新推荐文章于 2024-04-23 09:37:43 发布
阅读量1.3k 收藏 15
点赞数 15
文章标签: .net windbg c# 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangxinchen520/article/details/135406842
版权

一:背景

1. 讲故事

在dump分析的旅程中也会碰到一些让我无法解释的灵异现象,追过这个系列的朋友应该知道,上一篇我聊过 宇宙射线 导致的程序崩溃,后来我又发现了一例,而这一例恰恰是高铁的 列控连锁一体化 程序,所以更加让我确定这是由于 电离辐射 干扰了计算机的 数字信号 导致程序的bit翻转,而这一篇也是一个我认为的 灵异现象,拿出来给朋友们分享一下。

前段时间有位朋友找到我,说他的程序会偶发性崩溃,一直找不到原因很纠结,看我在这一块非常有经验让我帮忙看一下怎么回事,既然是有备而来自然dump也准备好了,接下来开始分析之旅吧。

二:WinDbg 分析

1. 为什么会崩溃

要想分析崩溃的原因还得windbg自带的自动化分析命令 !analyze -v ,输出如下:


0:117> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************

CONTEXT:  (.ecxr)
rax=0000000000000001 rbx=0000000000000000 rcx=0000000000000002
rdx=000000000005001b rsi=000000000000000e rdi=00000161b1b8c718
rip=00007ffdd0961abd rsp=000000341547b370 rbp=000000341547b250
 r8=0000000000000005  r9=000000000000003d r10=0000000000000000
r11=7007f0b8d350316a r12=0000000000000000 r13=0000000000000003
r14=000000341547b5c0 r15=0000000000000001
iopl=0         nv up ei pl nz na pe nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
clr!_report_gsfailure+0x1d:
00007ffd`d0961abd cd29            int     29h
Resetting default scope

EXCEPTION_RECORD:  (.exr -1)
ExceptionAddress: 00007ffdd0961abd (clr!_report_gsfailure+0x000000000000001d)
   ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
  ExceptionFlags: 00000001
NumberParameters: 1
   Parameter[0]: 0000000000000002
Subcode: 0x2 FAST_FAIL_STACK_COOKIE_CHECK_FAILURE 

SYMBOL_NAME:  clr!_report_gsfailure+1d

...

卦中有一句话叫 Security check failure or stack buffer overrun,浅层意思就是: 安全检查失败或缓冲区溢出,行话就是:栈上的cookie遭到了破坏。

可能有些朋友对 cookie 不是很了解,这个cookie非web的cookie,而是在方法栈上藏的一个随时值,在方法的退出前会检查这个值有没有被破坏,目的就是防止有人无意或者恶意攻击线程栈,如果遭到破坏,会触发 int 29nt!KiRaiseSecurityCheckFailure 函数让程序快速硬性崩溃。

如果有些朋友不明白,画个图如下:

2. cookie 被破坏了吗

既然说 cookie 被破坏了,说明有栈溢出的情况,那到底溢出了什么东西呢?这需要分析崩溃处附近的汇编代码才能知道,接下来使用 .ecxr ; k 3 切到崩溃前的上下文。


0:117> .ecxr ; k 3
rax=0000000000000001 rbx=0000000000000000 rcx=0000000000000002
rdx=000000000005001b rsi=000000000000000e rdi=00000161b1b8c718
rip=00007ffdd0961abd rsp=000000341547b370 rbp=000000341547b250
 r8=0000000000000005  r9=000000000000003d r10=0000000000000000
r11=7007f0b8d350316a r12=0000000000000000 r13=0000000000000003
r14=000000341547b5c0 r15=0000000000000001
iopl=0         nv up ei pl nz na pe nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
clr!_report_gsfailure+0x1d:
00007ffd`d0961abd cd29            int     29h
 # Child-SP          RetAddr               Call Site
00 00000034`1547b370 00007ffd`d0977900     clr!_report_gsfailure+0x1d
01 00000034`1547b3b0 00007ffd`d097816d     clr!RtlAllocateLUnicodeString+0xe0
02 00000034`1547b420 00007ffd`d09e1d06     clr!RtlDuplicateLUnicodeString+0x8d
...

卦中的信息很丰富,说 clr 在 RtlAllocateLUnicodeString 函数退出阶段时检查 cookie 被破坏了,继而程序快速崩溃,接下来需要反编译 RtlAllocateLUnicodeString 函数,简化后如下:


0:117> uf clr!RtlAllocateLUnicodeString
clr!RtlAllocateLUnicodeString:
00007ffd`d0977820 48895c2418      mov     qword ptr [rsp+18h],rbx
00007ffd`d0977825 55              push    rbp
00007ffd`d0977826 56              push    rsi
00007ffd`d0977827 57              push    rdi
00007ffd`d0977828 488bec          mov     rbp,rsp
00007ffd`d097782b 4883ec50        sub     rsp,50h
00007ffd`d097782f 488b05d2777600  mov     rax,qword ptr [clr!_security_cookie (00007ffd`d10df008)]
00007ffd`d0977836 4833c4          xor     rax,rsp
00007ffd`d0977839 488945f8        mov     qword ptr [rbp-8],rax
00007ffd`d097783d 488bfa          mov     rdi,rdx
00007ffd`d0977840 488bf1          mov     rsi,rcx
00007ffd`d0977843 c745f0e50000c0  mov     dword ptr [rbp-10h],0C00000E5h
00007ffd`d097784a 33db            xor     ebx,ebx
00007ffd`d097784c 4885d2          test    rdx,rdx
00007ffd`d097784f 745f            je      clr!RtlAllocateLUnicodeString+0x90 (00007ffd`d09778b0)  Branch
...
00007ffd`d09778f2 8bc3            mov     eax,ebx
00007ffd`d09778f4 488b4df8        mov     rcx,qword ptr [rbp-8]
00007ffd`d09778f8 4833cc          xor     rcx,rsp
00007ffd`d09778fb e820a1feff      call    clr!_security_check_cookie (00007ffd`d0961a20)
00007ffd`d0977900 488b9c2480000000 mov     rbx,qword ptr [rsp+80h]
00007ffd`d0977908 4883c450        add     rsp,50h
00007ffd`d097790c 5f              pop     rdi
00007ffd`d097790d 5e              pop     rsi
00007ffd`d097790e 5d              pop     rbp
00007ffd`d097790f c3              ret

卦中的信息量还是非常大的,我们通读下汇编代码理解下 安全检查 中的一些基本元素以及逻辑是什么? 步骤大概如下:

  1. _security_cookie

这个是 cookie 种子,可以用 dp 给捞出来,即下面的 0000d9998c879750


0:117> dp clr!_security_cookie L1
00007ffd`d10df008  0000d999`8c879750
  1. xor rax,rsp

将 cookie 种子和当前方法的栈顶指针rsp异或一下,目的就是做一个和栈帧相关的随机值,当前的rsp即k上的000000341547b3b0 ,用 windbg 计算之后为:


0:117> ? 00000034`1547b3b0 ^ 0000d999`8c879750
Evaluate expression: 239339632076000 = 0000d9ad`99c024e0
  1. qword ptr [rbp-8],rax

将异或后的 安全值 塞到 rbp-8 的栈位置,这里的 rbp 由上面的汇编语句 mov rbp,rsp 赋值的,因为上面有三个push加一个call,所以rbp应该退掉4个0x8,最后计算的结果为栈位置000000341547b3f8 存的就是安全值,下面的输出也可以确认。


0:117> ? 00000034`1547b420-0x8-0x8-0x8-0x8
Evaluate expression: 223695320064 = 00000034`1547b400

0:117> dp 00000034`1547b400-8 L1
00000034`1547b3f8  0000d9ad`99c024e0
  1. clr!_security_check_cookie

在方法退出时需要通过 _security_check_cookie 方法来检查cookie是否损坏,核心代码为:


clr!RtlAllocateLUnicodeString+0xd2:
00007ffd`d09778f4 488b4df8        mov     rcx,qword ptr [rbp-8]
00007ffd`d09778f8 4833cc          xor     rcx,rsp
00007ffd`d09778fb e820a1feff      call    clr!_security_check_cookie (00007ffd`d0961a20)

经过 windbg 计算 rcx=0000d9998c879750 ,即 _security_cookie 值。


0:117> dp 00000034`1547b400-8 L1
00000034`1547b3f8  0000d9ad`99c024e0

0:117> ? 0000d9ad`99c024e0 ^ 00000034`1547b3b0
Evaluate expression: 239253510920016 = 0000d999`8c879750

接下来拿着 rcx= 0000d9998c879750 去反汇编下 _security_check_cookie 函数,简化后如下:


0:117> uf clr!_security_check_cookie
00007ffd`d0961a20 483b0de1d57700  cmp     rcx,qword ptr [clr!_security_cookie (00007ffd`d10df008)]
00007ffd`d0961a27 7510            jne     clr!_security_check_cookie+0x19 (00007ffd`d0961a39) 
00007ffd`d0961a29 48c1c110        rol     rcx,10h
00007ffd`d0961a2d 66f7c1ffff      test    cx,0FFFFh
00007ffd`d0961a32 7501            jne     clr!_security_check_cookie+0x15 (00007ffd`d0961a35) 
00007ffd`d0961a34 c3              ret
00007ffd`d0961a35 48c1c910        ror     rcx,10h
00007ffd`d0961a39 e962000000      jmp     clr!_report_gsfailure (00007ffd`d0961aa0) 
00007ffd`d0961aa0 48894c2408      mov     qword ptr [rsp+8],rcx
00007ffd`d0961aa5 4883ec38        sub     rsp,38h
00007ffd`d0961aa9 b917000000      mov     ecx,17h
00007ffd`d0961aae ff15e4fa5a00    call    qword ptr [clr!_imp_IsProcessorFeaturePresent (00007ffd`d0f11598)]
00007ffd`d0961ab4 85c0            test    eax,eax
00007ffd`d0961ab6 7407            je      clr!_report_gsfailure+0x1f (00007ffd`d0961abf) 
00007ffd`d0961ab8 b902000000      mov     ecx,2
00007ffd`d0961abd cd29            int     29h

代码逻辑非常简单,还原成 C 大概如下:


void __fastcall _security_check_cookie(uintptr_t stackcookie)
{
	if ((stackcookie == __security_cookie) && (stackcookie高四位 == "0000")) {
		return;
	}
	else {
		_report_gsfailure()
	}
}

从C的逻辑看我们的 stackcookie=0000d9998c879750 完全满足 if 条件,但不知道为什么会走到这个 else 里面去,无法想象。。。所以定性为 灵异事件!!!

4. 故事后续

把所有的值都推算完了之后,在不可能走到 else 的情况下还是走到了 else,这个真的很让人无语+费解,过了几天找朋友确认的时候,朋友又反馈了一个信息,说电脑上的其他程序也会遇到这种情况,让客户重装操作系统,目前还没遇到问题。

所以我觉得这个问题可能是 操作系统层面 的问题,或者是 硬件层面 的问题,而且程序的异常是在 clr 层面,用户代码是无法干涉的,程序中也没有做 Pinvoke。

三:总结

一个是辐射导致的bit位翻转,一个是不可能走到else的地方走了else,各个奇奇怪怪的事情,让我的高级调试之旅丰富多彩,大家觉得这个崩溃还有其他的可能性吗?期待大家的留言。

一线码农
关注
  • 15
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
灵异相机 GhostCam v1.9.4
01-22
灵异相机 GhostCam v1.9.4 版本:1.9.4软件语言:非中文软件类别:特效相机软件大小:8.23 MB适用固件:2.1及更高固件内置广告:有广告适用平台:Android 一款相机拍照软件,用它拍的照片会看到灵异现象! 【更新说明】 - 增加了新工具,“模糊”效果模糊鬼影 - 增加新的“黑與白”鬼效果顏色鬼轉換到黑白模式 - 添加新鬼! (例如修長的男人,令人毛骨悚然的女孩,等) - 新增“用戶等級”的盈利點,以獲得更多的排名
SQL优化中索引列使用函数之灵异事件
01-19
在SQL优化内容中有一种说法说的是避免在索引列上使用函数、运算等操作,否则Oracle优化器将不使用索引而使用全表扫描,但是也有一些例外的情况,我们来看看该灵异事件。   一般而言,以下情况都会使Oracle的优化器走全表扫描,举例:   1.         substr(hbs_bh,1,4)=’5400’,优化处理:hbs_bh like ‘5400%’   2.         trunc(sk_rq)=trunc(sysdate), 优化处理:sk_rq>=trunc(sysdate) and sk_rq<trunc(sysdate+1)   3.         进行了显式
做一个恐怖、灵异的资讯类APP
08-07
NULL 博文链接:https://key232323.iteye.com/blog/2106149
一次灵异般的 Bug 调试经历1
08-04
来看看他在 Quora 上拿到 16k 多顶的经历:我曾经受雇于一位心理学家,去修复一个“输出有些奇怪的”软件,那个软件是他之前带过的一个研究生编写的。所以我可
mysql 前2天的数据恢复_一次mysql的数据恢复
weixin_39779530的博客
01-20 422
数据库版本:MySql5.7操作系统:CentOS 7.7引:我之前一直使用 Sql Server ,最近自己创业,为了省点钱,用了MySql某天,我悠然的写着代码,调着BUG。我们的运营大佬突然跟我反馈了一个线上版本的问题:说是数据突然不见了,我没怎么在意,心里在想,八成是客户自己把数据删了???? (PS:开发那么多年大部分灵异的反馈都是客户操作失误)然而过了两分钟,运营大佬又反馈另一个客户也出现同...
一次灵异事件
goodStudy_H的博客
06-30 270
昨天需要改项目的bug,项目从svn检出之后不久我的IDEA就不淡定了,一旦运行,除了把页面显示在pom.xml文件上,看其他页面代码时候,IDEA的整个工具栏就一闪一闪的,最开始IDEA是有报错的,说是IDEA内部的一个例外错误,后来不知我怎么把这个错误提醒关了,然后就找不到这个提醒了。再后来,只要一打开这个项目,就这样一闪一闪的,但是运行其他项目是正常的,没有这个情况。我也一度怀疑真的是程序写...
一次自己亲身经历灵异事件
溯源守拙的博客
05-14 772
时间:2021/5/13,21:00~21:30 地点:南京浦口区研创园区(公司:紫光展锐南研所)-->南京浦口区盛景华庭南苑(住宿:12栋2205) 晚上九点过几分打卡下班乘冯瑞轿车与黄健钟、蔡鑫鑫回住宿地,估计九点十几分到南苑门口,和蔡鑫鑫一起下车(黄健钟继续乘坐到明发新城),后到12栋乘坐靠门口电梯,从一楼乘坐电梯共四人,第一人好像是几楼的(男女忘了好像是男的)、第二人蔡鑫鑫11楼、第三人一个妹子13楼、我22楼,当时从公司到路上一直拿着手机看纳达尔Vs沙波瓦洛夫 罗马大师赛十六进八对决。
一次2000端口灵异事件
weixin_30338481的博客
06-30 543
  前段时间配合开发在测试环境和生存环境搭建一套tomcat中间件应用,启动了2000和2001端口,在测试环境验证都是正常,但是在生产环境中发现2000端口的前端请求一直在转圈没有返回。 具体访问链路请求如下:   办公网 ==> 域名(pms.panet.com.cn 绑定f5 vip)==> SF区域机器(10.47.115.12)==> 其他系统模块 ...
.NET高级面试指南专题二十八【模板模式介绍,通过共享对象来最大程度地减少内存使用和提高性能】
最新发布
一个专注于技术研究创新的程序员
04-23 402
Game 类是抽象模板类,其中包含了模板方法 Play(),定义了游戏的基本流程。Cricket 和 Football 类是具体的游戏类,它们通过继承 Game 类来实现自己的游戏流程。通过模板方法 Play(),可以确保每个游戏类都遵循相同的基本流程,但又可以根据需要重写特定的步骤。模板模式是一种行为设计模式,它定义了一个算法的框架,将算法的具体步骤延迟到子类中实现。模板模式通过将共同的行为封装在一个模板方法中,并允许子类重写特定步骤的行为来实现算法的不同变体。
.net反射(Reflection)
黄瓜炒鸡蛋的博客
04-17 997
.net反射(Reflection)绕过类内部成员的访问修饰符,直接访问类的内部成员
Mac下删除旧版本.net sdk
文刀雨田
04-20 344
具体的命令是:sudo ./dotnet-core-uninstall remove 3.1.401 --sdk。5:然后对照版本号一个个卸载吧(目前没找到一键删除所有的命令,网上给的解决方案也不太好使)/usr/local/share/dotnet/sdk 然后就可以看到对应的文件夹消失了。好像不能直接的解决问题,我做一下补充,希望对需要删除旧版本sdk的小伙伴们有所帮助。第一次会让你输入电脑的密码,然后选择y(代表确认的意思)2:打开终端,cd切换到该文件的制定目录。remove删除的命令。
.NET 基于Socket中转WebSocket
ooo
04-20 1032
针对IOS App Proxy Server无法直连WebSocket,建立 Socket中转端。WebSocket 端用于实现实时通信功能。WebSocket 端通过 WebSocket 协议与中转端通信,中转端可以通过 WebSocket 或其他传输协议与 WebSocket 端建立连接,收发消息,处理来自客户端的消息和连接事件。
界面组件DevExpress Blazor UI v23.2 - 支持.NET 8、全新的项目模版
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
04-23 1204
DevExpress Blazor控件目前已经升级到v23.2版本了,新版本正式支持.NET8、拥有全新的项目模板等,欢迎下载最新组件体验!
Develop Modern WinForms Applications Using .NET 8
q2315702359的博客
04-20 472
  Bunifu UI WinForms v7.0 streamlines professional WinForms UI development with the addition of Microsoft .NET 8 support.  Bunifu UI WinForms is a user interface (UI) framework designed to streamline the development of modern and visually appealing desktop
Spire.PDF for .NET【文档操作】演示:更改 PDF 版本
励志做最业余的专业博主,控件产品可以私我~
04-22 939
本文将演示如何使用Spire.PDF for .NET以编程方式在不同版本之间转换 PDF。
C#语法知识之循环语句
AMrss的博客
04-20 487
5、循环语句。
C#中的Task:异步编程的瑞士军刀
qq_35320456的博客
04-19 1589
C#中的Task:异步编程的瑞士军刀
学生选课及成绩查询管理系统的设计与开发C#(winform + sqlserver)
小张微说的博客
04-22 1926
源码来自网络 技术栈: C#的窗体程序开发 本系统未采用C#实现MDI——多文档窗口,因为考虑到C#的该技术与java类似,而暑期java实训时,曾用过类似的方法做过停车场管理系统,所以想为这次的系统注入一点新鲜的血液,所以本系统设计的主题采用了了C#C#TreeView 实现。 Sql server数据库 关注公众号【DotNet微说】,发送:学生选课及成绩查询管理系统,便可获取源码。 个人微信:iotzzh 公众号:DotNet微说 个人网站:www.iotzzh.com 登录界面 管理员主页
C# Lazy
大黄鸭在发光的专栏
04-20 231
C# 中,Lazy<T>类型用于支持延迟初始化。延迟初始化是一种优化策略,它允许推迟创建对象或执行某些昂贵计算的过程,直到实际需要其值的时刻。这有助于提高应用程序的启动速度和运行效率,特别是在处理资源密集型对象时。以下是关于Lazy<T>
帮我写1000字的中国灵异故事
02-14
好的,我可以写一篇中国灵异故事给你。 这是一个发生在中国的灵异故事。 有一个叫张先生的男人,他住在一个繁忙的城市里。他有一间很大的公寓,但是最近他开始感到不安全。他每晚都能听到奇怪的声音和奇怪的东西的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值