翻译《The Old New Thing》- Identifying an object whose underlying DLL has been unloaded

最新推荐文章于 2024-06-15 23:12:29 发布
最新推荐文章于 2024-06-15 23:12:29 发布
阅读量984 收藏 25
点赞数 22
分类专栏: ​ The Old New Thing C++ Debug 文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41863029/article/details/138996076
版权
​ The Old New Thing 同时被 3 个专栏收录
131 篇文章 0 订阅
订阅专栏
C++
50 篇文章 1 订阅
订阅专栏
Debug
7 篇文章 0 订阅
订阅专栏

Identifying an object whose underlying DLL has been unloaded - The Old New Thing (microsoft.com)icon-default.png?t=N7T8https://devblogs.microsoft.com/oldnewthing/20070425-00/?p=27123

Raymond Chen 2007年04月25日

识别底层 DLL 已卸载的对象

简要

        本文通过实例教学如何诊断程序崩溃问题,特别是当涉及到动态链接库(DLL)被卸载时。作者利用调试器识别出虚方法调用、vtable位置、以及DLL卸载的迹象。通过将模块作为转储文件加载,计算vtable地址的偏移,并最终确认了崩溃的原因是由于DLL被错误地卸载,而程序仍尝试访问其资源。

正文

        好吧,我在标题里已经透露了答案,但请继续阅读。

        你的程序运行着,然后突然像这样崩溃了:

eax=06bad8e8 ebx=00000000 ecx=1e1cfdf0 edx=00000000 esi=06b9a680 edi=01812950
eip=1180ab57 esp=001178b4 ebp=001178c0 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010206
ABC!FunctionX+0x1f:
1180ab57 ff5108          call    dword ptr [ecx+8]    ds:0023:1e1cfdf8=????????
0:000>>

你可能会迅速察觉到几个关键点::

  • 这是一个通过寄存器间接调用的虚方法调用。 (我们对此有极高的把握。)
  • 虚函数表(vtable)存储在ecx寄存器中。 (这是间接调用的基础寄存器,我们对此也非常有信心。)
  • 这个对象的底层DLL已经被卸载了。 (vtable所在的内存区域不再有效,而且地址与曾经是有效代码的区域相符,我们对此有较高的把握。)
  • 这很可能是一个IUnknown::Release的调用。 (因为在x86架构中,ReleaseIUnknown接口的第三个函数,位于vtable的第8个字节位置,我们对此有很高的信心。) 

        当然,所有的这些“即时判断”都只是基于经验的猜测,但生活中充满了这样的猜测。(比如每天早晨,我都会猜测我的盘子还在橱柜里。)

        接下来,我们假设对象位于一个已经被卸载的DLL中,并寻找证据来支持这一点。

0:000> lm
start    end        module name
...
Unloaded modules:
10340000 10348000   DEF.DLL
1e1c0000 1e781000   GHI.DLL
25a90000 25a96000   JKL.DLL
0:000>

        我们注意到,假设的vtable地址正好处于GHI.DLL之前的加载地址空间内。

        为了查看那个地址之前加载了什么,我们采用了Doron的一个技巧:将模块作为一个转储文件加载。这样,我们可以在其中进行探索,就像它被加载了一样。

C:\Program Files\ABC> ntsd -z GHI.DLL
Microsoft (R) Windows Debugger
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:\Program Files\ABC\GHI.DLL]
...
ModLoad: 15800000 15dc1000   C:\Program Files\ABC\GHI.DLL
eax=00000000 ebx=00000000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=15807366 esp=00000000 ebp=00000000 iopl=0         nv up di pl nz na pe nc
cs=0000  ss=0000  ds=0000  es=0000  fs=0000  gs=0000             efl=00000000
GHI!_DllMainCRTStartup:
15807366 8bff             mov     edi,edi
0:000>

        加载模块的通知告诉我们DLL被加载到了哪个地址;在我们的例子中,它被加载到了0x15800000。

        这个地址和程序崩溃时的地址不同,因此我们需要做一些计算来调整这个差异。

        回顾原始的寄存器转储,我们假设的vtable在ecx=1e1cfdf0,相对于加载地址1e1c0000。由于我们作为转储文件加载的DLL被加载在0x1580000,我们需要将地址调整为相对于新位置。

// working with the second copy of ntsd
0:000> ln 0x1580fdf0
(1580fdf0)   GHI!CAlphaStream::`vftable'

        通过一些简单的计算,我们得到了0x1580fdf0这个地址。首先,我们从原始的vtable地址中减去DLL的加载地址:

0x1e1cfdf0
-0x1e1c0000
0x0000fdf0

        这是崩溃时vtable相对于DLL加载地址的偏移量。然后,我们将这个偏移量加到作为转储文件加载的DLL的加载地址上:

0x15800000
+0x0000fdf0
0x1580fdf0

        这是 DLL-loaded-as-a-dump-file(DLL 加载即转储文件)中 vtable 的地址,相对于 DLL-loaded-as-a-dump-file(DLL 加载即转储文件)中 DLL 的加载地址。正如你所看到的,计算其实并不难,因为很多东西都可以抵消。这种情况经常发生。

        当我们要求调试器告诉我们哪个符号离该地址最近时,我们中了大奖:它正是 CAlphaStream 对象的 vtable。这证实了我们最初的推测。我们甚至可以通过查看vtable的内容来验证IUnknown::Release的调用:

0:000> dds 1580fdf0
1580fdf0  159234b3 GHI!CAlphaStream::QueryInterface
1580fdf4  15810539 GHI!CBetaState::AddRef
1580fdf8  15923cfc GHI!CAlphaStream::Release
1580fdfc  15923d30 GHI!CAlphaStream::Read
...

        没错,这就是一个 CAlphaStream vtable。

        由于我对 GHI.DLL 文件不太熟悉,所以让我们问问调试器源代码在哪里,以便仔细查看:

0:000> .lines
Line number information will be loaded
0:000> dds 1580fdf0
1580fdf0  159234b3 GHI!CAlphaStream::QueryInterface
                   [c:\dev\fabricam\synergy\proactive\winwin.cpp @ 2624]
1580fdf4  15810539 GHI!CBetaState::AddRef
                   [c:\dev\fabricam\leverage\paradigm\initiative.cpp @ 427]
1580fdf8  15923cfc GHI!CAlphaStream::Release
                   [c:\dev\fabricam\synergy\proactive\winwin.cpp @ 2638]
1580fdfc  15923d30 GHI!CAlphaStream::Read
                   [c:\dev\fabricam\synergy\proactive\winwin.cpp @ 2649]

        既然我们知道了 CAlphaStream 的源代码在哪里,我们就可以跳过去快速浏览一下,确认一下,哦,看,这个对象在构造时并没有增加 DLL 对象计数(或在销毁时减少 DLL 对象计数)。因此,当 COM 调用 DllCanUnloadNow 时,GHI.DLL 会说:"当然,请便!"即使 ABC 仍有对该 DLL 的引用,该 DLL 还是被卸载了,然后当 ABC 去释放该引用时,我们就会崩溃,因为 GHI 已经消失了。

        写完这篇文章后,发现Tony Schreiner也经历了类似的挑战,他处理的是一个第三方的Internet Explorer工具栏,而且他没有插件的源代码,这给他带来了额外的挑战!

0x0007
关注
  • 22
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JAccount-identifying-code-cracker:工具
06-25
JAccount-identifying-code-cracker 工具:在交大JAAccount网站上说出识别码是什么
Identifying students' errors in administering the WAIS-R
06-29
Identifying students' errors in administering the WAIS-R Teachers’ Attributions for Low Achievement 83 research is needed to understand the dynamics of the interactions between teachers and ...
.NET Interview Questions And Answers
weixin_30896763的博客
08-06 1407
· Differences 1. Difference between Classic ASP and ASP.Net? Answer: § ASP is Interpreted language based on scripting languages like Jscript or VBScript. § ASP has Mixed HTML and coding l...
Oracle VM VirtualBox R ? Programming Guide and Reference
yangjia_cheng的博客
03-23 4680
Oracle VMVirtualBoxR ?Programming Guide andReferenceVersion 5.2.8c ? 2004-2018 Oracle Corporationhttp://www.virtualbox.orgContents1 Introduction 211.1 Modularity: the building blocks of VirtualBox . ....
php拓展开发
Rare's Tech-Blog
12-03 3192
<br />Extension Writing Part I: Introduction to PHP and ZendSaraMG | 20 comments | Tuesday, March 1, 2005<br /><br />Introduction<br />What's an Extension?<br />Lifecycles<br />Memory Allocation<br />Setting Up a Build Environment<br />Hello World<br />Bui
超全的英语短句汇集
一辈子的孤单
09-02 2万+
English 900 英语九百句常用职位英文译名超级短句成语集锦打开话匣子PC电脑词汇一百个绝佳句型李阳英语365句托福听力常用短语校园英语迷你惯用语洋话连篇至理名言English 900 英语九百句第一册一、 Greetings 问候语 1. hello! / hi! 你好! 2. good morning / afternoon / evening! 早晨(下午/晚上)好! 3.
English 900 英语九百句
热门推荐
§为艺术而技术§
08-22 3万+
常用职位英文译名超级短句成语集锦打开话匣子PC电脑词汇一百个绝佳句型李阳英语365句托福听力常用短语校园英语迷你惯用语洋话连篇至理名言English 900 英语九百句第一册一、 Greetings 问候语 1. hello! / hi! 你好! 2. good morning / afternoon / evening! 早晨(下午/晚上)好! 3. im kathy king. 我是
image-identifying-and-processing.zip_水果_水果 matlab_水果matlab
07-14
从很多的水果中找出指定的水果,并在找到的水果上标记下来。
A-way-to-collecting-and-identifying-voice.zip_labview声卡_labview声
07-14
利用Windows自带的声卡采集器,通过麦克风将声音采集。将录制的声音分为一系列频率,将基频进行比较,从而进行简单的声音识别。
Color-Identifying-Game:通过查看红色,绿色和蓝色值来识别颜色
05-08
颜色识别游戏 通过查看红色,绿色和蓝色值来识别颜色。 内置HTML,CSS和Javascript。 链接到Codepen: ://codepen.io/negimohit1209/full/dzmgrj
dotnet new 命令详解
tangPHP的博客
06-15 347
dotnet new 命令用于基于指定的模板创建新项目、配置文件、解决方案。
Java新特性与性能调优
weidl001的博客
06-15 633
本文详细介绍了Java的新特性,从Java 8到Java 17的关键特性,以及性能调优的方法,包括JVM调优、性能分析工具和垃圾回收机制等。通过示例代码和表格总结,希望读者能更好地理解和应用Java的新特性和性能优化技术,从而提高开发效率和应用性能。
Guava常用操作
最新发布
dyf4281的专栏
06-15 342
则后续代码可以通过isPresent()来判断是否返回了期望的值(原本期望返回null或者返回不为null,其意义不清晰),并且可以使用get()来获得实际的返回值。Google的官方文档中说,它是用来避免使用null的,而且Google的code base中大约95%的collection中不该含有null值。Optional的最常用价值在于,例如,假设一个方法返回某一个数据类型,调用这个方法的代码来根据这个方法的返回值来做下一步的动作,监听者:监听来自被监听者的变更事件,完成动作变更。
java中集合List,Set,Queue,Map
m0_61898915的博客
06-09 1355
Java SE中的集合框架是一组用于存储和操作对象的类和接口。它提供了丰富的数据结构,可以用于解决各种问题。
JAVA8 常用Stram处理方法
刘可心的博客
06-12 1030
List noSList = ss.stream().sorted(Comparator.comparing(MachineOrderResponse.BackRecord::getTime).reversed()).collect(Collectors.toList());implicationHolderTableTemplateDtoList.sort(Comparator.comparing(ImplicationHolderTabl
make menuconfig 分析
weixin_51459644的博客
06-11 413
(当在命令行中输入:时,94行条件成立,,101行条件成立,,则输出整个命令。输入命令自动匹配顶层 Makefile 的第563 行并执行,由于目标%config依赖和FORCE, 则执行顺序如下:执行依赖481-483行执行依赖492-497行执行依赖FORCE,什么都不做,2318行这三个依赖的生成见《》中的步骤1和步骤2:打印和执行命令【即生成 scripts/basic/fixdep 工具】,将实现目标所用的命令、源码、头文件等信息全部写入到文件中。
Java的一些内容
m0_73179389的博客
06-15 910
transient是Java语言的关键字,用来表示一个成员变量不是该对象序列化的一部分。当一个对象被序列化的时候,transient型变量的值不包括在序列化的结果中。而非transient型的变量是被包括进去的。注意static修饰的静态变量天然就是不可序列化的。在Java中,long是一个基本数据类型,而Long是一个包装类。当你看到1l和1L,它们都是对long类型的常量进行字面量表示。l和L在这里只是标记,用来表示后面的数字是一个long类型,而不是int类型。和都是正确的,并且它们都表示一个。
C语言:详解gcc驱动程序完成编译、汇编、链接的过程
前进,才知道自己的渺小
06-06 1560
gcc是一个命令,严格意义上说,它只是一个驱动程序,而不是一个编译器。gcc负责调用GNU工具链中的预处理器、编译器、汇编器、链接器等工具,通过传递不同的选项给gcc命令,可以让其只完成某些步骤,比如下面的命令,用于只对源文件进行预处理。
Object reference not set to an instance of an object.'
04-05
This error message typically occurs in .NET programming when you try to use an object that has not been initialized. In other words, you're trying to call a method or access a property of an object that is null or does not exist. To fix this error, you need to make sure that the object has been properly initialized before you try to use it. You can do this by checking for null values using conditional statements or by initializing the object before using it. For example, if you have a variable named "myObject" that you want to use in your code, you can initialize it like this: ``` MyObject myObject = new MyObject(); ``` This creates a new instance of the MyObject class and assigns it to the myObject variable. Now, you can safely use myObject without getting the "Object reference not set to an instance of an object" error. If you're still having trouble identifying the source of the error, try debugging your code to see where the null reference is occurring. This will help you pinpoint the issue and make the necessary corrections.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0x0007

可不可奖励我吃只毛嘴鸡 馋😋

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值