ShellExecute引起的句柄泄漏

已于 2023-10-07 15:07:06 修改
阅读量1.2k 收藏
点赞数
分类专栏: 调试器里看世界 文章标签: windbg
于 2019-01-16 19:32:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43787608/article/details/86513372
版权

0x00

最近在检查公司Client的时候发现句柄表中存在 Process <Non-existence Process>(9516)Thread <Non-existence Process>(9615): 17060
很明显,问题应该是CreateProcess之后没有将 PPROCESS_INFORMATION 相关的句柄关闭。于是搜索了下代码,发现至少对 Thread 句柄的处理十分干净。所以只能DUMP了进程,拉进Windbg分析。

0x01

使用 s –d 命令搜索了下内存,发现了一处可疑之处。
010f900c 00000838 00000d58 0000252c 000042a4
!handle 838 显示的是进程
!handle d58 显示的是线程
252c = 9516
42a4 = 17060
基本可以肯定是这里。
使用 !address 010f900c 分析下内存,发现是Heap。
继续 !heap -x 0x10f900C,得到以下输出:
0:000> !heap -x 0x10f900C
Failed to read heap keySEGMENT HEAP ERROR: failed to initialize the extention Entry User Heap Segment Size PrevSize Unused Flags
010f8f28 010f8f30 01050000 01050000 1d0 10 8 busy

可以看出010f8f30对应大小是1d0,使用dds命令检查 010f8f30,果然发现了点东西:
010f8f30 744a1c84 windows_s

最低0.47元/天 解锁文章
应该是只菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
从挂死的Chrome中抢救未提交的图文
格友
03-14 764
写书是很花时间的事,偏巧这两年的写作计划又撞车到了一起。周一到周五一般没时间写,就只有周六和周日的时间。而在周六和周日的时间里,又容易冒出写文章的念头,如果写文章,那么写书的时间就又被抢占...
CreateProcess导致的资源泄漏
快乐菜鸟
10-14 1997
代码如下:// create process and wait for quitingbool XXXX::RunProcess(const std::string& command){    PROCESS_INFORMATION pi;    STARTUPINFOA startInfo;    memset(&startInfo, 0, sizeof(STARTUPINFO));    st
ShellExecuteShellExecuteEx的用法(转载)
自由天地
05-05 1410
Q: 如何打开一个应用程序? ShellExecute(this->m_hWnd,"open","calc.exe","","", SW_SHOW );或 ShellExecute(this->m_hWnd,"open","notepad.exe","c://MyLog.log","",SW_SHOW );正如您所看到的,我并没有传递程序的完整路径。Q: 如何打开一个同系统程序相关连的文档?She
c++使用 ShellExecute 打开文件或执行程序
好好学java
09-17 8961
使用 ShellExecute 打开文件或执行程序 可以使用 ShellExecute 打开文件或执行程序。 原型: HINSTANCE ShellExecute( _In_opt_ HWND hwnd,//父窗口句柄或出错时显示错误父窗口的句柄,可以为 NULL _In_opt_ LPCTSTR lpOperation,//操作 _In_ LPCTSTR ...
Windbg堆内存
q6771020的博客
09-24 769
一般要查内存泄露在没有verify的情况下比较困难,特别是分析dmp无法调试的时候; 简单看看是哪个内存块重复分配很多次吧。 测试代码如下 int main() { char* pp = nullptr; while (1) { Sleep(1000); pp = new char[10000]; } return 0; } 第一步、内存泄露都是在堆上分配的内存,不管是malloc、realloc还是new,或者直接HeapAlloc都是专用内存。先查看堆信息 0:
Windows平台下的内存泄漏检测
上官宏竹的专栏
01-01 1570
Windows平台下面Visual Studio 调试器和 C 运行时 (CRT) 库为我们提供了检测和识别内存泄漏的有效方法,原理大致如下:内存分配要通过CRT在运行时实现,只要在分配内存和释放内存时分别做好记录,程序结束时对比分配内存和释放内存的记录就可以确定是不是有内存泄漏
Windows下检测内存泄露的方法
Cantaloupe77的博客
08-12 4651
作为一个C++程序员,内存管理一直是一件头痛的事情,使用了内存忘记释放也是经常犯的错误。那么,发生了内存泄露,该怎么去解决呢?
堆(heap)系列_0x08:NT堆调试支持_立刻发现调试支持(DPH)
可乐松子的博客
07-03 1403
页堆:将堆的全部或部分调用到另一个堆管理器,会将申请的,且将的下一个页设置为,用这个只读页来检查缓冲区溢出;也可以将保护页(或者叫栅栏页)放在堆块前面;页堆在内存方面会造成巨大开销,因此1.运行notepad.exe,启动任务管理器记录这个notepad实例的PID和提交大小2.启动页堆管理员权限运行(使用方法,点击这里查看),GUI界面上给notepad.exe开启页堆,命令行也可以观察启动和关闭页堆前后的提交大小变化如下,开启后,提交大小明显变大,这是因为页堆提供了额外的内存分配 扩展命令扩展:!he
如何在Delphi中调用外部程序转载.docx
11-20
在Delphi中调用外部程序是一项常见的任务,可以用于实现应用程序间的交互或者自动化流程。本文主要探讨了三种方法:WinExec、ShellExecute和...同时,对于进程的管理和终止,要确保正确处理,避免资源泄露或意外情况。
VB.file.icon.extract.function.code.rar_icon
09-21
5. **释放资源**:在完成图标操作后,记得释放图标句柄,以防止内存泄漏。这可以通过`DestroyIcon`函数实现。 以下是一个简单的VB代码示例,展示了如何提取并显示文件图标: ```vb Private Sub Command1_Click() ...
易语言文件运行API
07-21
只有当文件类型为可执行文件时,才能使用系统API如`CreateProcess`或`ShellExecute`来运行它。否则,程序可能会报错或者无法正常启动。 6. 文件是否运行中 判断文件是否正在运行通常需要查询进程列表。在易语言中...
VC++调用带参数的exe可执行程序
03-15
同时,启动新的进程后,我们需要确保正确地关闭句柄以避免资源泄漏。 另外,`ShellExecute()`函数可以简化这个过程,特别是当不需要对进程有高级控制时: ```cpp SHANDLE hResult = ShellExecute(NULL, _T("open")...
易语言定时关闭API函数的应用.7z
05-16
同时,对于定时器的管理,也需要防止重复设置或资源泄露。 通过这个压缩包中的示例,你可以学习到如何在易语言中使用API函数,以及如何结合系统命令实现特定功能,如定时任务。这对于提升你的易语言编程技能和理解...
ShellExecute失败,返回ERROR_NO_ASSOCIATION(1155)的处理方案
dingxz105090的专栏
01-19 2840
DWORD TryShellWithParam(CString strParam) { DWORD dwErrorOld = GetLastError(), dwErrorNew = ERROR_SUCCESS; if (ERROR_SUCCESS != dwErrorOld) { if (ERROR_NO_ASSOCIATION == dwErrorOld) { ShellExe...
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8147
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
记一次 .NET 某工控视觉软件 非托管泄漏分析
一线码农的专栏
10-09 503
从卦中看,当前进程有 `13.6 G` 的提交内存,NtHeap 占用了 `13G`,很明显这是非托管内存泄漏,既然是非托管泄漏,那就需要二番战,也就是让朋友开启 `ust`,或者启用应用程序验证器 `(Application Verifier)` 开启页堆,目的就是记录分配这块内存的源头,这里就让朋友用 gflags 开启下 `ust`,具体怎么开,这里就不介绍了,大家可以网上搜一下。最近分享了好几篇关于 `非托管内存泄漏` 的文章,有时候就是这么神奇,来求助的都是这类型的dump,一饮一啄,莫非前定。
SHELL编程--监控进程pid句柄数变化并输出到日志中
Jerry00713的博客
06-10 634
多实例进程名字用AABB代替 单实例进程名字用AB 输出到/server/s.txt #/bin/bash #获取AABB进程名字 #获取ps-ef |grep AABB一共有几行 str=`ps -ef |grep AABB |grep -v 'colo' |awk '{print $2,$2,$(NF-1),$(NF)}' |awk '{print NR}' |tail -n1` date "+%Y-%m-%d %H:%M" >>/server/s.txt #i取值从1到
谈”句柄泄漏
rainxu的专栏
06-07 1903
泄漏”是我们写程序的人老生常谈的一个话题。最为常见的就是内存泄漏(memory leak),本文介绍一种新的泄漏句柄泄漏(handle leak)。在windows系统的程序中,我们经常会遇到句柄这个词,而且windows也抽象出了一种句柄类型HANDLE。在unix系统的系统中,句柄这个词用的不是很多。我们用另一个词描述它—文件描述符(file descriptior)。这里的文件是指广义的
windows ALPC简单研究
weixin_43787608的博客
11-26 9053
0x00 本文是对ALPC的简单研究,由于时间有限,还有很多细节没有搞清楚,还有很多疏漏。希望能起到抛砖引玉的作用,能找到高手讨论学习。 ALPC(Advanced/Asynchronous Local Procedure Call),是微软发展出来替代LPC,用于本机RPC的一种C/S模型技术。但是对用户来说,能看到只有RPC概念,很少能看到ALPC。 我们看一个典型的ALPC同步调用堆栈: ...
shellexecute
最新发布
06-06
Shellexecute是一个Windows API函数,用于执行外部程序或打开文件。它可以打开文件、网页、发送电子邮件、启动应用程序等。它的语法如下: ``` ShellExecute( HWND hwnd, LPCTSTR lpOperation, LPCTSTR lpFile, LPCTSTR lpParameters, LPCTSTR lpDirectory, INT nShowCmd ); ``` 其中,`hwnd` 是调用程序的窗口句柄,`lpOperation` 是要执行的操作,比如打开文件、编辑文件等,`lpFile` 是要执行的文件名或网址,`lpParameters` 是传递给程序的命令行参数,`lpDirectory` 是程序或文档所在的目录,`nShowCmd` 是窗口的显示方式,比如最小化、最大化、隐藏等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值