某医院影像客户端卡死分析

最新推荐文章于 2023-08-09 18:23:34 发布
最新推荐文章于 2023-08-09 18:23:34 发布
阅读量907 收藏
点赞数
分类专栏: Windows 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010607621/article/details/119543351
版权
某医院的Windows his客户端在打开患者影像照片时经常卡死,非死循环导致。通过dmp分析,发现0号线程在等待GetWindowText响应,而应答线程在等待异步事件。禁用音频驱动器后故障不再发生。尝试多种修复方法如修改Report2DL.dll、CreateRemoteThread等均未成功。
摘要由CSDN通过智能技术生成

1 故障现象

Windows里的his客户端,登录后,打开患者的影像照片,就很容易his卡死。只得将his强杀再开。卡死频率大约每3~6次就会出现1次。

2 初步分析

2.1 检查his安装正确否

通过beyondcompare做文件夹比较,可以认为his安装正确。

2.2 死循环还是卡死

卡死时用procexp查看该进程的cpu消耗以及各个线程的cpu消耗。发现都接近0。可以认为当时,这个进程里的每个线程都是陷入内核不返回,而不是某些线程处于死循环中。
遂对该进程创建dmp。

3 深入分析

3.1 进程dmp分析

3.1.1 看看0号线程在等什么

用windbg打开进程dmp,~*kv查看每个线程的调用栈。发现wow64字样,这个dmp应该是procexp64抓取的32位进程的dmp。windbg输入!wow64exts.sw进行切换。然后再~*kv
先看0号线程,它的调用栈是:

 # ChildEBP RetAddr      Args to Child              
00 00189424 75d52129     000303cc 0000000d 000000ff user32!NtUserMessageCall+0x15 (FPO: [7,0,0])
01 00189464 75d500d1     008e7e20 00000000 76592744 user32!SendMessageWorker+0x5f2 (FPO: [Non-Fpo])
02 001894ac 06960220     000303cc 06a34518 000000ff user32!GetWindowTextA+0x49 (FPO: [Non-Fpo])
WARNING: Stack unwind information not available. Following frames may be wrong.
03 001894d8 75d4947a     000303cc 069d04d0 000000b6 Report2DL!DllUnregisterServer+0x1027dc
04 001894f8 75d4d205     00000000 00000000 069601e8 user32!InternalEnumWindows+0x5a (FPO: [Non-Fpo])
05 00189518 069603dd     069601e8 069d04d0 00189534 user32!EnumWindows+0x16 (FPO: [Non-Fpo])
06 00189560 0684477b     001895cc 06844789 00189588 Report2DL!DllUnregisterServer+0x102999
07 00189588 06844868     0684739d 00000000 069c4f74 Report2DL+0x477b
08 001895d8 77179280     06840000 00000001 00000000 Report2DL+0x4868
09 001895f8 7717feb7     069c4f64 06840000 00000001 ntdll_77140000!LdrpCallInitRoutine+0x14
0a 001896ec 7717ea8e     00000000 773cc92d 00189890 ntdll_77140000!LdrpRunInitializeRoutines+0x26f (FPO: [Non-Fpo])
0b 00189860 771bd3ff     001898d0 00189890 002db376 ntdll_77140000!LdrpLoadDll+0x472 (FPO: [Non-Fpo])
0c 0018989c 75a82e6a     00000000 001898f0 001898d0 ntdll_77140000!LdrLoadDll+0xc7 (FPO: [Non-Fpo])
0d 001898e4 76429c17     00000000 00000000 00002008 KERNELBASE!LoadLibraryExW+0x233 (FPO: [Non-Fpo])
0e 00189900 76429b9a     00000000 0018997c 00002008 ole32!LoadLibraryWithLogging+0x16 (FPO: [Non-Fpo]) (CONV: stdcall) [d:\w7rtm\com\ole32\common\loadfree.cxx @ 157]
0f 00189924 76429a86     0018997c 00189948 0018994c ole32!CClassCache::CDllPathEntry:
最低0.47元/天 解锁文章
sculida
关注
专栏目录
【GIS风暴】全色影像、多光谱影像、高光谱影像案例辨析
「 刘一哥与GIS的故事」
07-13 2191
对于多光谱影像来说,传感器接收到光信号前会有一个分光的过程,将入射的白光分解成所需的RGB光谱段和近红外光束,然后传感器(一般是一组传感器)才分别接受这些光束,而对于全色影像来说,传感器摄取的是单波段,所以不存在分光过程。图像光谱测量是结合了光谱技术和成像技术,将光谱分辨能力和图形分辨能力相结合,造就了空间维度上的面光谱分析,也就是现在的多光谱成像和高光谱成像技术。而高光谱由更窄的波段(10-20 nm)组成,具有较高的光谱分辨率,可以检测物体的光谱特效,可提供更多无形的数据。多光谱影像具有多个波段。
排查医疗系统卡慢的一次经历
走错路的程序员
09-07 1300
某家医院系统会时不时的卡死,导致整个医院系统无法使用。严重影响业务的正常运行,现场运维人员观察发现系统卡死时 ping不通服务器。仅此信息,其它信息无。 赶赴现场后,首先排查是网络问题还是系统问题。 第一步的 排查方法也很简单, 打开任务管理器,(他的服务器是Window server2008 r2 ),打开资源监视器,等待系统卡顿时,观察网络流量,和磁盘使用量,内存,CPU。等信息,如果是...
记一次数据库性能问题20230807
最新发布
weixin_42329915的博客
08-09 91
XX客户HIS系统,his数据库响应较慢,用户核心业务经常发生卡顿现象,影响业务正常运行。
win7x64新进程画面均无显示一例分析——从内核态到用户态,从x64到wow64,从汇编到托管
u010607621的博客
10-18 783
新进程无画面是因为0号线程被mutex(DictManager_GlobalLocker)卡住。 输入法SOGOUPY用到的mutex(DictManager_GlobalLocker)无法释放是新进程卡住的直接原因。 无法释放是因为本该由进程Imclient线程fffffa80c895c950释放,但是它也被CriticalSection=7b0138卡住无法释放。 cs=7b0138本该由Imclient线程574来释放,但是它出了异常,异常代码的执行中也进入Wait了。
医院案例|一次HIS系统卡顿原因排查过程分享
LinkSLA的博客
10-18 1686
现在服务器系统是64bit,服务器内存远大于4G,页面预期寿命计算公式是服务器内存大小/4G*300秒。
从DllMain下断点到LdrpCallInitRoutine
lixiangminghate的专栏
04-27 1854
windbg中有个sxe命令,用于启动某类事件上的调试中断。例如 sxe ld:kernel32.dll可以在exe加载kernel32.dll时中断到调试器。不过,一般情况下,exe无法捕获kernel32.dll加载的事件。因为当windbg启动捕获到ibp事件(初始断点 )而中断到调试器后,exe启动时所依赖的dll都已加载完毕(包括kernel32.dll)。如下面的清单,当windb
EasyScanV40影像系统客户端操作手册.doc
10-07
《EasyScanV40影像系统客户端操作手册》是为用户提供的一款详尽的使用指南,旨在帮助用户理解并熟练掌握EasyScan V4.0影像系统客户端操作。本文档将深入介绍系统的各个方面,包括技术要点、功能特性,以及客户端的...
EasyScanV4.0影像系统客户端操作手册范本.doc
09-26
EasyScanV4.0影像系统客户端操作手册范本.doc
NTDLL.dll4 : Load and Unload (ZT)
it技术学习
07-14 1327
一、前言 在前一段时间,我遭遇了一个现象诡异的Bug,最后原因归结 为在DllMain错误地调用了FreeLibrary(在本文最后对此Bug有详细的解释)。MSDN关于禁止在DllMain调用 LoadLibrary和FreeLibrary的解释过于含糊不清,所以我重温了一遍Russ Osterlund的"Windows 2000 Loader"一文,并仔细阅读了泄漏的Win20
关于android System.loadLibrary阻塞问题的分析
施工中请绕行
04-14 4808
上周客户反馈SDK在某些早期型号的安卓智能电视上加载有卡死的现象发生,已知可以稳定复现问题的设备型号如下: 长虹 C2000i 长虹 C3000i 长虹 C5000i 创维 Skyworth 8K56 E380S 创维 Skyworth 8K55 E680 联想 ideatv A21 TCL Generic Android on mt5880 我们通过SDK端的上报数据分析,发现出...
Windbg在软件调试中的应用
weixin_34245082的博客
09-21 251
Windbg在软件调试中的应用 Windbg是微软提供的一款免费的,专门针对Windows应用程序的调试工具。借助于Windbg, 我们常见的软件问题:软件异常,死锁,内存泄漏等,就可以进行高效的排查。 在开始用WinDbg调试应用程序之前,我们得先做些准备工作。 设置符号文件路径。 设置源代码路径。 打开待调试的可执行程序或Dump文件。 上述3个操作步聚比较简单,均在File菜单的子菜单...
windbg学习---!process
ShadowAssassin的专栏
08-09 4206
!process 0 0 显示进程列表:
VC++2010中的GetWindowText与GetWindowTextW的区别
07-02 1万+
UpdateData(TRUE);//将控件上显示上的数据更新到关联变量 UpdateData(FALSE);将关联变量的值更新到控件显示。 当你改变控件对应的关联变量的值的时候,要使用UpdateData(FALSE)来更新显示。 当你在界面上更改控件的值的时候,你要使用UpdateData(TRUE);将值更新到关联变量 或者如果不使用关联变量,可以使用GetDlgItemText(I
java GetWindowText_GetWindowText 卡死
weixin_32778881的博客
03-04 302
今天因为业务需要封装了一个函数:intGenHwndByTitle(CStringtitle,vector&hwnds){intnCount=0;//获得首个handle.HWNDh=FindWindow(0,0);//循环查找直到找到为给定进程ID的窗口句柄while(h!=NULL){//检查窗口句柄是否为顶级窗口if(::GetParent(h)==...
判断窗体是否无响应(监控窗体)
weixin_30782293的博客
10-18 355
一个窗体对应于一个线程,有时候模糊测试进行监控的时候,单独对进程进行监控可能无法达到相应的效果,因此需要对线程监控。 一种方式 是对该进程的所有线程进行监控,通过判断线程的状态来判断是否已经发生异常。但实际中用ProcessMoniter进行查看的时候,发现一个窗体停止响应,但是此线程依旧正常Running状态,猜测可能是延时或者其他原因到时实时反馈并不是正常。 注:python Win...
C++程序在Windows系统上启动失败与运行卡死问题排查实战
热门推荐
dvlinker的技术专栏
05-22 3万+
C++程序在Windows系统上启动失败与运行卡死项目问题排查实战。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值