windbg-内存破坏实例分析

最新推荐文章于 2024-09-02 14:29:22 发布
最新推荐文章于 2024-09-02 14:29:22 发布
阅读量889 收藏
点赞数
分类专栏: 调试技术

以下实例来自AWD

代码:

[cpp]  view plain  copy
  1. /*++ 
  2. Copyright (c) Advanced Windows Debugging (ISBN 0321374460) from Addison-Wesley Professional.  All rights reserved. 
  3.  
  4.     THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY 
  5.     KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE 
  6.     IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR 
  7.     PURPOSE. 
  8.  
  9. --*/  
  10. #include "stdafx.h"  
  11. #include <windows.h>  
  12. #include <stdio.h>  
  13. #include <conio.h>  
  14.   
  15. VOID SimulateMemoryCorruption ( ) ;  
  16.   
  17. class CAppInfo  
  18. {  
  19. public:   
  20.     CAppInfo(LPWSTR wszAppName, LPWSTR wszVersion)  
  21.     {  
  22.         m_wszAppName=wszAppName;  
  23.         m_wszVersion=wszVersion;  
  24.     }  
  25.   
  26.     VOID PrintAppInfo()  
  27.     {  
  28.         wprintf(L"\nFull application Name: %s\n", m_wszAppName);  
  29.         wprintf(L"Version: %s\n", m_wszVersion);  
  30.     }  
  31.   
  32. private:  
  33.     LPWSTR m_wszAppName ;  
  34.     LPWSTR m_wszVersion ;  
  35. } ;  
  36.   
  37. CAppInfo* g_AppInfo ;  
  38.   
  39. int __cdecl wmain (int argc, WCHAR* args[])  
  40. {  
  41.     wint_t iChar = 0 ;  
  42.     g_AppInfo = new CAppInfo(L"Memory Corruption Sample", L"1.0" );  
  43.     if(!g_AppInfo)  
  44.     {  
  45.         return 1;  
  46.     }  
  47.   
  48.     wprintf(L"Press: \n");  
  49.     wprintf(L"    1    To display application information\n");  
  50.     wprintf(L"    2    To simulated memory corruption\n");  
  51.     wprintf(L"    3    To exit\n\n\n>");  
  52.   
  53.     while((iChar=_getwche())!='3')  
  54.     {  
  55.         switch(iChar)  
  56.         {  
  57.             case '1':  
  58.                g_AppInfo->PrintAppInfo();  
  59.                break;  
  60.   
  61.             case '2':  
  62.               SimulateMemoryCorruption();  
  63.               wprintf(L"\nMemory Corruption completed\n");  
  64.               break;  
  65.   
  66.             default:  
  67.               wprintf(L"\nInvalid option\n");  
  68.         }  
  69.         wprintf(L"\n\n> ");  
  70.     }  
  71.     return 0;  
  72. }  
  73.   
  74.   
  75. VOID SimulateMemoryCorruption ( )  
  76. {  
  77.     char* pszWrite="Corrupt";  
  78.     BYTE* p=(BYTE*) g_AppInfo;  
  79.     CopyMemory(p, pszWrite, strlen(pszWrite));  
  80. }  

编译,生成Release,运行,选1再选2再选1,程序崩溃,打开Dump:

[cpp]  view plain  copy
  1. 0:000> lm  
  2. start    end        module name  
  3. 00400000 00406000   test1      (deferred)               
  4. 62c20000 62c29000   lpk        (deferred)               
  5. 73fa0000 7400b000   usp10      (deferred)               
  6. 76300000 7631d000   imm32      (deferred)               
  7. 76d70000 76d92000   apphelp    (deferred)               
  8. 77bd0000 77bd8000   version    (deferred)               
  9. 77d10000 77da0000   user32     (deferred)               
  10. 77da0000 77e49000   advapi32   (deferred)               
  11. 77e50000 77ee3000   rpcrt4     (deferred)               
  12. 77ef0000 77f39000   gdi32      (deferred)               
  13. 77fc0000 77fd1000   secur32    (deferred)               
  14. 78520000 785c3000   msvcr90    (private pdb symbols)  c:\mysymbol\msvcr90.i386.pdb\3ADD2E755BC041BC9149BFBE7C33387C1\msvcr90.i386.pdb  
  15. 7c800000 7c91e000   kernel32   (deferred)               
  16. 7c920000 7c9b6000   ntdll      (pdb symbols)          c:\mysymbol\ntdll.pdb\CEFC0863B1F84130A11E0F54180CD21A2\ntdll.pdb  

加载符号文件:

[cpp]  view plain  copy
  1. 0:000> .sympath+ D:\Project1\test1\Release  
  2. Symbol search path is: C:\WINDOWS\Symbols;SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols ;D:\Project1\test1\Release  
  3. WARNING: Whitespace at end of path element  
  4. 0:000> .reload /f  
  5. ..............  
  6. Loading unloaded module list  
  7. .........  
  8. 0:000> lm  
  9. start    end        module name  
  10. 00400000 00406000   test1      (private pdb symbols)  D:\Project1\test1\Release\test1.pdb  
  11. 62c20000 62c29000   lpk        (pdb symbols)          C:\WINDOWS\Symbols\dll\lpk.pdb  
  12. 73fa0000 7400b000   usp10      (pdb symbols)          c:\mysymbol\usp10.pdb\D4BA2952809F469BB6D1D3AF6B956E6B1\usp10.pdb  
  13. 76300000 7631d000   imm32      (pdb symbols)          C:\WINDOWS\Symbols\dll\imm32.pdb  
  14. 76d70000 76d92000   apphelp    (pdb symbols)          C:\WINDOWS\Symbols\dll\apphelp.pdb  
  15. 77bd0000 77bd8000   version    (pdb symbols)          C:\WINDOWS\Symbols\dll\version.pdb  
  16. 77d10000 77da0000   user32     (pdb symbols)          C:\WINDOWS\Symbols\dll\user32.pdb  
  17. 77da0000 77e49000   advapi32   (pdb symbols)          c:\mysymbol\advapi32.pdb\F759D3F1C6614313B07C84BC33F02E4D2\advapi32.pdb  
  18. 77e50000 77ee3000   rpcrt4     (pdb symbols)          c:\mysymbol\rpcrt4.pdb\1A465C67828242F28A8C70E3B9D5C4772\rpcrt4.pdb  
  19. 77ef0000 77f39000   gdi32      (pdb symbols)          c:\mysymbol\gdi32.pdb\372C0F0E08FB456EAB7B4CB2B53E27952\gdi32.pdb  
  20. 77fc0000 77fd1000   secur32    (pdb symbols)          c:\mysymbol\secur32.pdb\7867B3F28B5C41CE847895E3FC013DC52\secur32.pdb  
  21. 78520000 785c3000   msvcr90    (private pdb symbols)  c:\mysymbol\msvcr90.i386.pdb\3ADD2E755BC041BC9149BFBE7C33387C1\msvcr90.i386.pdb  
  22. 7c800000 7c91e000   kernel32   (pdb symbols)          c:\mysymbol\kernel32.pdb\072FF0EB54D24DFAAE9D13885486EE092\kernel32.pdb  
  23. 7c920000 7c9b6000   ntdll      (pdb symbols)          c:\mysymbol\ntdll.pdb\CEFC0863B1F84130A11E0F54180CD21A2\ntdll.pdb  

查看堆栈:

[cpp]  view plain  copy
  1. 0:000> kb  
  2. ChildEBP RetAddr  Args to Child                
  3. 0012ff20 78556215 785b73c8 004020f4 00000000 msvcr90!_woutput_l+0x94c [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1624]  
  4. 0012ff64 004010ba 004020f4 72726f43 00403380 msvcr90!wprintf+0x73 [f:\dd\vctools\crt_bld\self_x86\crt\src\wprintf.c @ 63]  
  5. 0012ff7c 00401252 00000001 00392940 00392998 test1!wmain+0xba [d:\project1\test1\test1\test1.cpp @ 58]  
  6. 0012ffc0 7c817077 00300031 0032002d 7ffdc000 test1!__tmainCRTStartup+0x10f [f:\dd\vctools\crt_bld\self_x86\crt\src\crtexe.c @ 583]  
  7. 0012fff0 00000000 0040139a 00000000 78746341 kernel32!BaseProcessStart+0x23  

看下58行代码,使用了   g_AppInfo->PrintAppInfo();

我们猜测,g_AppInfo的两个成员无效,因为wprintf调用的就是它们

找到g_AppInfo,列出它的成员:

[cpp]  view plain  copy
  1. 0:000> x test1!*g_*  
  2. 00403374 test1!g_AppInfo = 0x00395b10  
  3. 004022f0 test1!_load_config_used = struct IMAGE_LOAD_CONFIG_DIRECTORY32_2  
  4. 00402098 test1!_imp___amsg_exit = <no type information>  
  5. 004014fa test1!_amsg_exit = <no type information>  
  6. 0:000> dt CAppInfo 0x00395b10  
  7. test1!CAppInfo  
  8.    +0x000 m_wszAppName     : 0x72726f43  "--- memory read error at address 0x72726f43 ---"  
  9.    +0x004 m_wszVersion     : 0x00747075  "???"  

注意,这里dt要用CAppInfo告诉它解析的地址类型

那我们再来看看这两个局变量的内容:

[cpp]  view plain  copy
  1. 0:000> dt CAppInfo 0x00395b10  
  2. test1!CAppInfo  
  3.    +0x000 m_wszAppName     : 0x72726f43  "--- memory read error at address 0x72726f43 ---"  
  4.    +0x004 m_wszVersion     : 0x00747075  "???"  
  5. 0:000> !address 0x72726f43    
  6.     62c29000 : 62c29000 - 11377000  
  7.                     Type     00000000   
  8.                     Protect  00000001 PAGE_NOACCESS  
  9.                     State    00010000 MEM_FREE  
  10.                     Usage    RegionUsageFree  
  11. 0:000> !address 0x00747075    
  12.     005f0000 : 005f0000 - 001be000  
  13.                     Type     00020000 MEM_PRIVATE  
  14.                     Protect  00000004 PAGE_READWRITE  
  15.                     State    00001000 MEM_COMMIT  
  16.                     Usage    RegionUsageIsVAD  

我们发现第一个变量竟然是不可访问的,找到问题了,

[cpp]  view plain  copy
  1. 0:000> dc 0x00395b10  
  2. 00395b10  72726f43 00747075 00020201 000801c2  Corrupt.........  
  3. 00395b20  6c75460a 7061206c 63696c70 6f697461  .Full applicatio  
  4. 00395b30  614e206e 203a656d 64657465 4320790a  n Name: eted.y C  
  5. 00395b40  7572726f 6f697470 6153206e 656c706d  orruption Sample  
  6. 00395b50  0000000a 00000000 00000000 00000000  ................  
  7. 00395b60  00000000 00000000 00000000 00000000  ................  
  8. 00395b70  00000000 00000000 00000000 00000000  ................  
  9. 00395b80  00000000 00000000 00000000 00000000  ................  

原来第一个变量竟然成了字符串Corrupt,查看代码,我们发现在按2时,程序强行把字符串"Corrupt"写入了

 

 

一些的指导性的建议和策略:

1通过命令dc将指针的内存内容转储出来,dc可以将内存内容以双字形式转储出来,如果在输出中看到有任何的字符串,那么可以通过命令da或du把字符串转储出来

2通过!address收集关于内存的信息,!address可以告诉你内存的类型(如私有内存),保护级别(读取和写入),状态(已提交或保留)和用途(栈或堆)

3.通过dds命令将内存转储为双字或者符号,这有助于将内存和特定的类型关联起来,

4.通过dpp命令对指针解引用,并且以双字形式转储出内存的内容,如果有任何一个双字匹配某个符号,那么这个符号也会被显示,如果在指针指向的内存中包含了一个虚函数表,那么

这种技术是非常有用的

5.通过dpa和dpu将指针指向的内存分别显示为ASII格式和Unicode格式

6.如果内存的内容是个很小的数值(4的值数)那么它可能是一个句柄,可以通过!handle来转储这个句柄的信息.


swartz_lubel
关注
专栏目录
内存越界一定会导致程序崩溃吗?详解内存越界
dvlinker的技术专栏
08-20 2万+
本文详细解释了内存越界不一定导致内存越界的问题,全面介绍了C++内存越界的相关内容。
引发C++程序内存泄漏的原因分析与排查方法总结
热门推荐
dvlinker的技术专栏
08-21 2万+
本文根据多年的项目实践以及遇到的多个内存泄漏的问题案例及场景,详细介绍引发内存泄漏的原因以及排查方法。
windbg 调试崩溃实例 2 则
kingpcn的专栏
04-13 3762
HOW TO: 查找问题的异常堆栈时出现的 UnhandledExceptionFilter 调用堆栈跟踪中 http://support.microsoft.com/kb/313109/zh-cn 察看本文应用于的产品 本页 概要 使用 Windbg.exe 打开转储文件 使用 Windbg.exe 确定异常堆栈 参考 展开全部 | 关闭全部 概要 没有异常处理程序定义处理引发的异常时,将调用该 UnhandledExceptionFilter 函数。 通常,该函数会将异常传递给在 Ntdll.dll 为
windbg学习实例1:内存破坏
weixin_30840573的博客
05-25 273
以下实例来自AWD 代码: /*++ Copyright (c) Advanced Windows Debugging (ISBN 0321374460) from Addison-Wesley Professional. All rights reserved. THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOU...
windbg经典死锁分析实例
LinxihuilaihoudeMeng的博客
12-18 1627
死锁经典代码(代码来源:http://www.debuginfo.com/examples/src/DeadLockDemo.cpp): #include <windows.h> #include <tchar.h> #include <process.h> #include <stdio.h> typedef unsigned (__stdc...
使用windbg分析iis崩溃的一个实例
weixin_30516243的博客
06-22 251
问题背景说明:客户的生产环境不定时发生崩溃,需要定位崩溃的原因。在开发环境不能重现该问题,准备抓取IIS的dump文件分析 第一步:在客户的生产环境抓取dump文件 参考:IIS崩溃时自动抓取Dump 等IIS崩溃时,会自动转存dump文件 第二步:分析dump文件 2.1 选择在那个环境分析dump文件 一般可以选择在生产环境分析dump文件,(如果开发环境有符号表文件,也可...
windbg堆栈破坏之寄存器分析
erikaIT的博客
06-01 1393
ebp:作为函数调用的基址地址,指向函数在栈的起始位置esp:指向当前执行函数的栈顶指针eip:指向下一个将要执行的cpu指令在内存中的位置如果怀疑一个dump为堆栈溢出,可以通过观察这几个指针所指向的内存值,判断是否为堆栈溢出。指令:r ebp,查看寄存器的指针地址指令:dd ebp,查看ebp指针指向及附近的内存数据指令:dd 上一步的首个内存地址,如果为??内容,则说明ebp指向的内存已经被...
用于windbg检查堆是否被破坏的python脚本
十八进
05-08 1149
需要安装pykd import sys from pykd import * def check_heap(): heapliststring = dbgCommand('!heap') for heapstring in heapliststring.split('\n'): if heapstring.find(':') == -1:    contin
引发C++程序内存错误的常见原因分析与总结
dvlinker的技术专栏
06-11 1万+
引发C++程序内存错误的常见原因分析与总结
引发new/malloc动态申请内存失败的常见原因分析与总结
最新发布
dvlinker的技术专栏
09-02 1万+
本文结合以往项目中遇到的多个问题实例,给大家详细总结一下引发动态申请内存失败的常见原因,以供借鉴或参考。
查看调用栈的命令kb内容分析
weixin_30813225的博客
01-07 226
#include "stdafx.h" int fun0(int i) { return i; }; int fun1(int i) { return fun0(i); } int _tmain(int argc, _TCHAR* argv[]) { fun1(10); return 0; } 代码如上 我们在test!fun1下个断点,g运行,断下来后: ...
又一起.NET程序挂死, 用 Windbg 抽丝剥茧式的真实案例分析
一线码农的专栏
04-19 243
一:背景 1. 讲故事 前天有位粉丝朋友在后台留言让我帮忙看看他的 Winform程序 UI无响应 + 410线程 到底是啥情况,如下图: 说实话,能看到这些真实案例我是特别喜欢的???????????? ,就像医生看病,光停留在理论和那些 demo 上,那是没有前途的,如果有朋友在这块搞不定的话,我可以免费帮你解读 dump,再附送一篇博客详述。 好了,言归正传,既然粉丝朋友已经提到了高达 410 线程,我本能反应就是要么高负载,要么野线程,后者大多是无数新出现的线程卡在某个锁上。 WinForm 出
利用windbg分析崩溃,句柄泄漏,死锁,CPU高,内存泄漏
zqw_4181的博客
01-25 5624
Windbg的一些简单使用命令 一、崩溃 1、  输入.ecxr;kbn得到崩溃的堆栈 其中源代码如下 2、  查看堆栈和源代码,发现第0帧导致崩溃,代码也是本地代码 输入.frame  0,切到第0帧如下 3、  输入 dv 查看当前帧的一些变量信息          发现变量p =0x00000000 二、句柄泄漏 1、  启动进程 2、  用windbg附加到
windbg入门教程之异常报告深入解读
Keep Moving~
09-19 4519
软件异常 异常,顾名思义是指不符合预期的时间发生,由应用程序和操作系统抛出的异常叫做软件异常。 当然我们均不希望发生这些软件异常,但在实际中却常常会遇到因为不良编码导致的异常,比如访问了空指针、访问非法地址、解析json字符串异常等等。 异常处理 为了应对异常,window系统提供了一些API用于获取异常、处理或者控制异常, 为了理解后续的异常信息,我们先了解三个关于异常的API函数: GetE...
windbg分析崩溃dmp
liaozhilong88的博客
06-06 4304
首先我们收集了程序崩溃的dump文件,然后将dump文件拖拽到windbug下,然后依次如下命令:1.设置符号路径:.sympath srv*C:\symbols*http://msdl.microsoft.com/download/symbols;C:\crash\pdb; 备注:C:\crash\pdb 是自己程序的pdb的符号路径。2.键入:.reload,             让win...
Windebug专题
flyingleo1981的专栏
03-28 2014
5 解决问题案例 !cs、~~[TID](经典死锁) 随手写的: #include <windows.h > CRITICAL_SECTION cs1; CRITICAL_SECTION cs2; DWORD __stdcall thread1(LPVOID lp) { En...
使用Windbg调试系统弹出的内存不可读错误
weixin_34192816的博客
09-17 244
步骤: 1. 使用Windbg挂钩到崩溃的进程上面 2. 使用~*k列出所有线程 3. 搜索UnhandledExceptionFilter所在的线程 4. 使用~ns切换到上面崩溃所在的线程,n为线程前面的序号 5.使用kv显示线程调用堆栈 6,可以看到02af7740 7c83ab50 02af7768 7c839b39 02af7770 kernel32!Unhand...
记一次使用Windbg分析内存“泄漏”的案例
qingyang0320的专栏
06-28 1647
WinDbg分析dump,总结下来,在这个case里下面几个命令比较相关和实用。
windbg调试命令4(用户层.dump)
v5browser
04-12 220
Windbg生成dump文件的方法: 程序崩溃(crash)的时候, 为了以后能够调试分析问题, 可以使用WinDBG要把当时程序内存空间数据都保存下来,生成的文件称为dump 文件。 步骤: 1) 打开WinDBG并将之Attach 到crash的程序进程 2) 输入产生dump 文件的命令 WinDBG产生dump 文件的命令是 .dump ,可以选择不同的参数来生成不同类型的du...
物理内存分析基础 - Dmitry Vostokov
"《物理内存分析基础》- Dmitry Vostokov" 本书《物理内存分析基础》由Dmitry Vostokov撰写,是学习和理解物理内存分析的重要参考资料,特别适用于软件调试和软件问题诊断。作者Dmitry Vostokov是一位在软件诊断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值