卸载riched20导致崩溃

最新推荐文章于 2024-03-31 17:09:43 发布
最新推荐文章于 2024-03-31 17:09:43 发布
阅读量353 收藏
点赞数
分类专栏: 调试器里看世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43787608/article/details/85075817
版权

0x00

在公司的crash平台上发现每天都存在调用ClipBoard函数时发生崩溃。
函数最终崩溃在 ole32! RemoveClipboardDataObject 中。简易流程如下:
pData = (IDataObject *)GetPropW(hClipWnd, L"ClipboardDataObjectInterface");
__guard_check_icall_fptr(pData->vfptr->Release);
由此可见 pData对应的对象应该是已经被释放到,导致调用 Release 函数出错。

0x01

我们知道,对于虚函数表来说,当image被编译出来以后,它的内容就存在于image的某处。当image被加载到进程地址空间以后,new出的对象会动态更新其虚函数表的指针,指向这些虚表。
由此我们可以根据访问的地址(pData->vfptr 的地址)定位到对应的image与对应的虚表内容。
1、 假设pData->vfptr地址为 x;
2、 Windbg中执行 lm 命令,查看x落在哪个module地址空间内(这里最好不要直接使用ln命令,以为module可能已经被卸载了);
3、 找到对应的module后,假设起base addr为y;
4、 通过 x – y可以得到虚表在Image内的偏移;
5、 打开IDA,分析对应的image,找到实际的虚表内容,确定当前pData指向的对象的实际类型。

0x02

在本例中,问题的原因是当我们使用richedit并且编辑复制时,ole32可能会将riched20.dll中的对象通过 SetPropW 保存到 ClipWnd 中。当外部调用EmptyClipBoard或者其他函数导致ole32的RemoveClipboardDataObject被调用时,ole32会取出当前ClipWnd中保存着的riched20.dll的对象,并调用其Release函数。如果riched20.dll被提前卸载,则客户端崩溃。
检查了下代码,发现某个模块会在特定情况下加载卸载 riched20.dll,试了几把,可以重现问题。

0x03

系统模块间的关系看起来比我们想象的复杂的多,对待系统模块的加载卸载还是要谨慎一点。

应该是只菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
riched20.dll
12-02
在Ubuntu系统下,需要安装Windows下的软件,在Ubuntu中安装Wine,在Wine中安装钉钉,微信等应用的时候,会发现输入框显示不了光标和输入的文字,那么就需要riched20.dll这个库来替换,在win7 或 xp (32位的) 找到c:/...
crossover 微信替换文件 riched20.dll
11-26
标题中的“crossover 微信替换文件 riched20.dll”指的是使用Crossover软件来替换微信应用程序中的riched20.dll文件。Crossover是一款基于Wine技术的软件,它允许在非Windows系统(如macOS和Linux)上运行Windows...
riched20.dll无法找到
10-15 706
帮同事修电脑,QQ游戏里的斗地主玩不成QQ麻将却可以玩,下载QQ也安装不了。我试了一下,斗地主进入桌子开始游戏的时候软件出错退出,卸载后再安装,却弹出对话框显示riched20.dll无法找到,但是仍然能安装,装完后再进仍然是上面的状况;卸掉所有关于QQ的软件后再重新下载QQ2006,安装的时候显示找不到c:/windows/system32/riched20.dll而无法继续安装。到系统目录
riched20.dll文件丢失导致程序无法运行问题
最新发布
2301_76755223的博客
03-31 682
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个riched20.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现riched20.dll丢失要怎么解决?
Windows提示缺少riched20.dll文件如何解决?
file
05-25 730
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或者损坏了,这时你只需下载这个riched20.dll文件进行安装(前提是找到适合的版本),当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此安装好之后就能重新打开你的软件或游戏了.那么出现riched20.dll丢失要怎么解决?
Windows系统中丢失riched20.dll文件导致程序无法运行问题
amio555的专栏
05-30 432
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个riched20.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现riched20.dll丢失要怎么解决?
DuiLib编译时提示“ 无法打开文件“Riched20.lib”
u014231345的博客
05-11 1033
转载地址:https://blog.csdn.net/zdongfuyu/article/details/40818949 1.首先移除项目中包含的Riched20.lib静态库,在linker中。 2.找到RichEditUI.cpp中的如下代码: // Create Text Services component if(FAILED(CreateTextServices(NULL, t...
RichEdit的用法总结(转载)
weixin_33827731的博客
10-10 484
richedit 常见使用问题 一.常见问题a.可以编译,不能执行的 在需要在相应的对话框中加上InitInstance(void)函数中添加 AfxInitRichEdit(); b.升级默认的Riched版本(默认的有一些bug),如可在InitInstance中添加LoadLibrary("RICHED20.DLL")最后注意 FreeLibrary 如果是CRichEditVie...
分析及防护:Win10 执行流保护绕过问题
嬴政
08-07 4189
原文地址:http://www.panshy.com/articles/201508/security-2512.html Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技 安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Wind
iphlpapi riched20 dll文件
02-07
ubuntu下通过wine安装qq之后无法输入帐号所需要的文件
RICHED20.DLL
09-18
RICHED20.DLL
riched20 InstMsiW.exe W2KSP4-EN.exe文件最新版本
07-31
处理wine 安装微信输入框里面不显示...riched20需要的文件,InstMsiW.exe和W2KSP4-EN.EXE两个文件 W2KSP4_EN.EXE复制到 ~/.cache/winetricks/win2ksp4 目录里面 InstMsiW.exe复制到 ~/.cache/winetricks/msls31目录里面
riched20.zip
02-04
在处理富文本编辑器控件时,如果wine对"riched20.dll"的支持不足,就可能导致微信输入框无法正常显示文本。 解决这个问题的方法通常包括以下步骤: 1. **更新wine版本**:确保你正在使用最新版本的wine,因为新...
方便大家下载,riched20需要的资料,InstMsiW.exe,W2KSP4-EN.EXE
02-09
本文将详细探讨“方便大家下载,riched20需要的资料,InstMsiW.exe,W2KSP4-EN.EXE”这个主题,以及与之相关的“wine”和“riched20”标签,以及压缩文件“wine_riched20.zip”。 首先,让我们了解一下标题中的两个...
winetricks riched20命令缺少的包W2KSP4_EN
11-30
标题中的“winetricks riched20命令缺少的包W2KSP4_EN”涉及到的是在使用`winetricks`工具来安装或配置Wine环境时的一个特定问题。`winetricks`是一个辅助脚本,它能帮助用户方便地安装额外的库、字体或者组件,以使...
python 获取窗口句柄的进程_原创干货 | 【恶意代码分析技巧】14修改内存指针实现进程注入...
weixin_39862899的博客
11-21 1187
上一篇文章中介绍的注入技术都是传统的注入技术,通用性好,但是也很容易被安全软件发现。随着研究的深入,攻击者们发现了新的注入技术,这类注入技术只攻击内存中特定的对象,修改内存指针,使得指针指向payload,再利用特定的操作触发payload执行。在这方面研究较多的是hexacorn(超链接:http://www.hexacorn.com/index.html)和modexp(超链接:ht...
关于CFG的研究
sxr__nc的博客
04-03 1465
关于CFG的研究 CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制 防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
RICHED20.dll
08-22 1441
RICHED20.dll是一个支持复杂文本框的插件,有了它你的电脑里应用程序的文本框就可以支持多种字体,符号,图片的输入了.否则文本框就只能输入像记事本那样简单的内容了,这个文件是windows自带的.
microsoft riched20 download
04-29
Microsoft Riched20是一个文本编辑和呈现控件,它可以在Windows系统上运行。它包含了一系列的API和工具,使得应用程序能够使用它来处理文本数据,并支持不同的文本格式。 在下载Microsoft Riched20时,需要注意其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值