當前位置：首頁 > 科技 > 軟件

.NET 程序的 GDI 句柄泄露的再反思

來源：責編：時間：2023-08-05 11:45:59 4782觀看

導讀一、背景1. 講故事上個月我寫過一篇如何洞察 C# 程序的 GDI 句柄泄露文章，當時用的是 GDIView + WinDbg 把問題搞定，前者用來定位泄露資源，后者用來定位泄露代碼，后面有朋友反饋兩個問題：GDIView 統計不準怎么辦？我只有 D

一、背景

1. 講故事

上個月我寫過一篇如何洞察 C# 程序的 GDI 句柄泄露文章，當時用的是 GDIView + WinDbg 把問題搞定，前者用來定位泄露資源，后者用來定位泄露代碼，后面有朋友反饋兩個問題：

GDIView 統計不準怎么辦？
我只有 Dump 可以統計嗎？

其實那篇文章也聊過，在 x64 或者 wow64 的程序里，在用戶態內存段中有一個 GDI Shared Handle Table 句柄表，這個表中就統計了各自句柄類型的數量，如果能統計出來也就回答了上面的問題，對吧。

32bit 程序的 GDI Shared Handle Table 段是沒有的，即 _PEB.GdiSharedHandleTable = NULL。

0:002> dt ntdll!_PEB GdiSharedHandleTable 01051000 +0x0f8 GdiSharedHandleTable : (null)

有了這些前置基礎，接下來就可以開挖了。

二、挖 GdiSharedHandleTable

1. 測試代碼

為了方便測試，我來造一個 DC句柄的泄露。

internal class Program    {        [DllImport("Example_20_1_5", CallingConvention = CallingConvention.Cdecl)]        extern static void GDILeak();        static void Main(string[] args)        {            try            {                GDILeak();            }            catch (Exception ex)            {                Console.WriteLine(ex.Message);            }            Console.ReadLine();        }    }

然后就是 GDILeak 的 C++ 實現代碼。

extern "C"{ _declspec(dllexport) void GDILeak();}void GDILeak(){    while (true)    {        CreateDCW(L"DISPLAY", nullptr, nullptr, nullptr);        auto const gdiObjectsCount = GetGuiResources(GetCurrentProcess(), GR_GDIOBJECTS);        std::cout << "GDI objects: " << gdiObjectsCount << std::endl;        Sleep(10);    }}

程序跑起來后，如果你是x64的程序那沒有關系，但如果你是 32bit 的程序一定要生成一個 Wow64 格式的 Dump，千萬不要抓它的 32bit dump，否則拿不到 GdiSharedHandleTable 字段也就無法后續分析了，那如何生成 Wow64 格式的呢？我推薦兩種方式。

使用64bit任務管理器(系統默認)生成
使用 procdump -64 -ma QQ.exe 中的 -64 參數

這里我們采用第一種方式，截圖如下：

圖片

2. 分析 GdiSharedHandleTable

使用偽寄存器變量提取出 GdiSharedHandleTable 字段，輸出如下：

0:000> dt ntdll!_PEB GdiSharedHandleTable @$peb   +0x0f8 GdiSharedHandleTable : 0x00000000`03560000 Void

接下來使用 !address 找到這個 GdiSharedHandleTable 的首末地址。

0:000> !address 0x00000000`03560000Usage:                  OtherBase Address:           00000000`03560000End Address:            00000000`036e1000Region Size:            00000000`00181000 (   1.504 MB)State:                  00001000          MEM_COMMITProtect:                00000002          PAGE_READONLYType:                   00040000          MEM_MAPPEDAllocation Base:        00000000`03560000Allocation Protect:     00000002          PAGE_READONLYAdditional info:        GDI Shared Handle TableContent source: 1 (target), length: 181000

上一篇我們聊過每新增一個GDI句柄都會在這個表中增加一條 GDICell，輸出如下：

typedef struct { PVOID64 pKernelAddress; USHORT wProcessId; USHORT wCount; USHORT wUpper; USHORT wType; PVOID64 pUserAddress;} GDICell;

這個 GDICell 有兩個信息比較重要。

wProcessId 表示進程 ID
wType 表示句柄類型。

理想情況下是對句柄類型進行分組統計就能知道是哪里的泄露，接下來的問題是如何找呢？可以仔細觀察結構體， wProcessId 和 wType 的偏移是 3USHORT=6byte，我們在內存中找相對偏移不就可以了嗎？接下來在內存中搜索這塊

0:000> ~..  0  Id: 101c.4310 Suspend: 0 Teb: 00000000`009bf000 Unfrozen      Start: Example_20_1_4_exe!wmainCRTStartup (00000000`00d4ffe0)      Priority: 0  Priority class: 32  Affinity: fff0:000> s-w 03560000 036e1000 101c00000000`03562060  101c 0000 af01 0401 0b00 0830 0000 0000  ..........0.....00000000`035782a0  101c ff1d ffff ffff 0000 0000 1d0f 010f  ................00000000`0357c688  101c 0000 3401 0401 0160 0847 0000 0000  .....4..`.G........00000000`035a5f98  101c 0000 0801 0401 0dc0 08a1 0000 0000  ................00000000`035a5fb0  101c 0000 0801 0401 0c60 08a1 0000 0000  ........`.......00000000`035a5fc8  101c 0000 0801 0401 0840 08a1 0000 0000  ........@.......00000000`035a5fe0  101c 0000 0801 0401 0b00 08a1 0000 0000  ................

圖片

從卦中可以看到，當前有1029個 GDICell 結構體，接下來怎么鑒別每一條記錄上都是什么類型呢？其實這里是有枚舉的。

DC = 0x01
Region = 0x04
Bitmap = 0x05
Palette =0x08
Font =0x0a
Brush = 0x10
Pen = 0x30

即 GDIView 中的紅色一列。

圖片

到這里我們可以通過肉眼觀察 + F5 檢索，可以清晰的看到1029 個句柄對象，其中 1028 個是 DC 對象，其實這就是我們泄露的，截圖如下：

圖片

3. 腳本處理

如果大家通讀會發現這些都是固定步驟，完全可以寫成比如 C++ 和 Javascript 的格式腳本，在 StackOverflow 上還真有這樣的腳本。

$$ Run as: $$>a<DumpGdi.txt$$ Written by Alois Kraus 2016$$ uses pseudo registers r0-5 and r8-r14r @$t1=0r @$t8=0r @$t9=0r @$t10=0r @$t11=0r @$t12=0r @$t13=0r @$t14=0$$ Increment count is 1 byte until we find a matching field with the current pidr @$t4=1r @$t0=$peb$$ Get address of GDI handle table into t5.foreach /pS 3 /ps 1 ( @$GdiSharedHandleTable { dt ntdll!_PEB GdiSharedHandleTable @$t0 } ) { r @$t5 = @$GdiSharedHandleTable }$$ On first call !address produces more output. Do a warmup.foreach /pS 50 ( @$myStartAddress {!address  @$t5} ) {  }$$ Get start address of file mapping into t2.foreach /pS 4 /ps 40 ( @$myStartAddress {!address  @$t5} ) { r @$t2 = @$myStartAddress }$$ Get end address of file mapping into t3.foreach /pS 7 /ps 40 ( @$myEndAddress {!address  @$t5} ) { r @$t3 = @$myEndAddress }.printf "GDI Handle Table %p %p", @$t2, @$t3.for(; @$t2 < @$t3; r @$t2 = @$t2 + @$t4) {  $$ since we walk bytewise through potentially invalid memory we need first to check if it points to valid memory  .if($vvalid(@$t2,4) == 1 )   {     $$ Check if pid matches     .if (wo(@$t2) == @$tpid )      {         $$ increase handle count stored in $t1 and increase step size by 0x18 because we know the cell structure GDICell has a size of 0x18 bytes.        r @$t1 = @$t1+1        r @$t4 = 0x18        $$ Access wType of GDICELL and increment per GDI handle type        .if (by(@$t2+6) == 0x1 )  { r @$t8 =  @$t8+1  }        .if (by(@$t2+6) == 0x4 )  { r @$t9 =  @$t9+1  }        .if (by(@$t2+6) == 0x5 )  { r @$t10 = @$t10+1 }        .if (by(@$t2+6) == 0x8 )  { r @$t11 = @$t11+1 }        .if (by(@$t2+6) == 0xa )  { r @$t12 = @$t12+1 }        .if (by(@$t2+6) == 0x10 ) { r @$t13 = @$t13+1 }        .if (by(@$t2+6) == 0x30 ) { r @$t14 = @$t14+1 }     }   } }.printf "/nGDI Handle Count      %d", @$t1.printf "/n/tDeviceContexts: %d", @$t8.printf "/n/tRegions:        %d", @$t9.printf "/n/tBitmaps:        %d", @$t10.printf "/n/tPalettes:       %d", @$t11.printf "/n/tFonts:          %d", @$t12.printf "/n/tBrushes:        %d", @$t13.printf "/n/tPens:           %d", @$t14.printf "/n/tUncategorized:  %d/n", @$t1-(@$t14+@$t13+@$t12+@$t11+@$t10+@$t9+@$t8)

最后我們用腳本跑一下，哈哈，是不是非常清楚。

0:000> $$>a< "D:/testdump/DumpGdi.txt"GDI Handle Table 0000000003560000 00000000036e1000GDI Handle Count      1028 DeviceContexts: 1028 Regions:        0 Bitmaps:        0 Palettes:       0 Fonts:          0 Brushes:        0 Pens:           0 Uncategorized:  0

三、總結

如果大家想從 DUMP 文件中提取 GDI 句柄泄露類型，這是一篇很好的參考資料，相信能從另一個角度給你提供一些靈感。

本文鏈接：http://www.www897cc.com/showinfo-26-140-0.html.NET 程序的 GDI 句柄泄露的再反思

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇：這款新興工具平臺，讓你的電腦效率翻倍

下一篇：虛擬鍵盤 API 的妙用

標簽：

熱門焦點

Mate60手機殼曝光致敬自己的經典設計

8月3日消息，今天下午博主數碼閑聊站帶來了華為Mate60的第三方手機殼圖，可以讓我們在真機發布之前看看這款華為全新旗艦的大致輪廓。從曝光的圖片看，Mate 60背后攝像頭面積依然
俄羅斯：將審查iPhone等外國公司設備保數據安全

iPhone和特斯拉都屬于在各自領域領頭羊的品牌，推出的產品也也都是數一數二的，但對于一些國家而言，它們的產品可靠性和安全性還是在限制范圍內。近日，俄羅斯聯邦通信、信息技術
Redmi Pad評測：紅米充滿野心的一次嘗試

從Note系列到K系列，從藍牙耳機到筆記本電腦，紅米不知不覺之間也已經形成了自己頗有競爭力的產品體系，在中端和次旗艦市場上甚至要比小米新機的表現來得更好，正所謂“大丈夫生居
天貓精靈Sound Pro體驗：智能音箱沒有音質？來聽聽我的

這幾年除了手機作為智能生活終端最主要的核心之外，第二個可以成為中心點的產品是什么？——是智能音箱。手機在執行命令的時候有兩種操作方式，手和智能語音助手，而智能音箱只
一年經驗在二線城市面試后端的經驗分享

忠告這篇文章只適合2年內工作經驗、甚至沒有工作經驗的朋友閱讀。如果你是2年以上工作經驗，請果斷劃走，對你沒啥幫助~主人公這篇文章內容來自「升職加薪」星球星友的投稿，坐
三分鐘白話RocketMQ系列—— 如何發送消息

我們知道RocketMQ主要分為消息生產、存儲（消息堆積）、消費三大塊領域。那接下來，我們白話一下，RocketMQ是如何發送消息的，揭秘消息生產全過程。注意，如果白話中不小心提到相關代
中國家電海外掘金正當時｜出海專題

作者｜吳南南編輯｜胡展嘉運營｜陳佳慧出品｜零態LT（ID：LingTai_LT）2023年，出海市場戰況空前，中國創業者在海外紛紛摩拳擦掌，以期能夠把中國的商業模式、創業理念、戰略打法輸出海外，他們依
2299元起！iQOO Pad開啟預售：性能最強天璣平板

5月23日，iQOO如期舉行了新品發布會，除了首發安卓最強旗艦處理器的iQOO Neo8系列新機外，還在發布會上推出了旗下首款平板電腦——iQOO Pad，其搭載了天璣
電博會上海爾智家模擬500平大平層，還原生活空間沉浸式體驗

電博會為了更好地讓參展觀眾真正感受到智能家居的絕妙之處，海爾智家的程傳嶺先生同樣介紹了展會上海爾智家的模擬500平大平層，還原生活空間沉浸式體驗。程傳

日韩成人免费在线_国产成人一二_精品国产免费人成电影在线观..._日本一区二区三区久久久久久久久不

.NET 程序的 GDI 句柄泄露的再反思

一、背景

1. 講故事

二、挖 GdiSharedHandleTable

1. 測試代碼

2. 分析 GdiSharedHandleTable

3. 腳本處理

三、總結

Mate60手機殼曝光致敬自己的經典設計

俄羅斯：將審查iPhone等外國公司設備保數據安全

Redmi Pad評測：紅米充滿野心的一次嘗試

天貓精靈Sound Pro體驗：智能音箱沒有音質？來聽聽我的

一年經驗在二線城市面試后端的經驗分享

三分鐘白話RocketMQ系列—— 如何發送消息

中國家電海外掘金正當時｜出海專題

2299元起！iQOO Pad開啟預售：性能最強天璣平板

電博會上海爾智家模擬500平大平層，還原生活空間沉浸式體驗

最新推薦

猜你喜歡

熱門推薦

相關資訊