C#非托管泄漏中HEAP_ENTRY的Size为什么会对不上

    一:背景

    1. 讲故事

    前段时间有位朋友在分析他的非托管泄漏时,发现NT堆的_HEAP_ENTRY 的 Size 和 !heap 命令中的 Size 对不上,来咨询是怎么回事? 比如下面这段输出:

    0:000> !heap 0000000000550000 -aIndex   Address  Name      Debugging options enabled  1:   00550000     Heap entries for Segment00 in Heap 0000000000550000                 address: psize . size  flags   state (requested size)        0000000000550000: 00000 . 00740 [101] - busy (73f)        0000000000550740: 00740 . 00110 [101] - busy (108)0:000> dt nt!_HEAP_ENTRY 0000000000550740ntdll!_HEAP_ENTRY   +0x000 UnpackedEntry    : _HEAP_UNPACKED_ENTRY   +0x000 PreviousBlockPrivateData : (null)    +0x008 Size             : 0xa6a7   +0x00a Flags            : 0x33 '3'   +0x00b SmallTagIndex    : 0x75 'u'   ...

    从输出中可以看到,用 !heap 命令的显示 0000000000550740size=0x00110 ,而 dt 显示的 size=0xa6a7,那为什么这两个 size 不一样呢? 毫无疑问 !heap 命令中显示的 0x00110 是对的,而 0xa6a7 是错的,那为什么会错呢? 很显然 Windows 团队并不想让你能轻松的从 ntheap 上把当前的 entry 给挖出来,所以给了你各种假数据,言外之意就是 size 已经编码了。

    原因给大家解释清楚了,那我能不能对抗一下,硬从NtHeap上将正确的size给推导出来呢? 办法肯定是有办法的,这篇我们就试着聊一聊。

    二:如何正确推导

    1. 原理是什么?

    其实原理很简单,_HEAP_ENTRY 中的 Size 已经和 _HEAP 下的 Encoding 做了异或处理。

    0:004> dt nt!_HEAP ntdll!_HEAP   ...   +0x07c EncodeFlagMask   : Uint4B   +0x080 Encoding         : _HEAP_ENTRY   ...

    那如何验证这句话是否正确呢?接下来启动 WinDbg 来验证下,为了方便说明,先上一段测试代码。

    int main(){	for (size_t i = 0; i < 10000; i++)	{		int* ptr =(int*) malloc(sizeof(int) * 1000);		printf("i=%d \n",i+1);		Sleep(1);	}	getchar();}

    既然代码中会用到 Encoding 字段来编解码size,那我是不是可以用 ba 在这个内存地址中下一个硬件条件,如果命中了,就可以通过汇编代码观察编解码逻辑,对吧? 有了思路就可以开干了。

    2. 通过汇编观察编解码逻辑

    因为 malloc 默认是分配在进程堆上,所以用 !heap -s 找到进程堆句柄进而获取 Encoding 的内存地址。

    0:004> !heap -s************************************************************************************************************************                                              NT HEAP STATS BELOW************************************************************************************************************************LFH Key                   : 0x64ffdd9683678f7eTermination on corruption : ENABLED          Heap     Flags   Reserv  Commit  Virt   Free  List   UCR  Virt  Lock  Fast                             (k)     (k)    (k)     (k) length      blocks cont. heap -------------------------------------------------------------------------------------00000000004a0000 00000002    2432   1544   2040     50    12     2    0      0   LFH0000000000010000 00008000      64      4     64      2     1     1    0      0      -------------------------------------------------------------------------------------0:004> dt nt!_HEAP 00000000004a0000ntdll!_HEAP   +0x000 Segment          : _HEAP_SEGMENT   ...   +0x07c EncodeFlagMask   : 0x100000   +0x080 Encoding         : _HEAP_ENTRY   ...0:004> dx -r1 (*((ntdll!_HEAP_ENTRY *)0x4a0080))(*((ntdll!_HEAP_ENTRY *)0x4a0080))                 [Type: _HEAP_ENTRY]    [+0x000] UnpackedEntry    [Type: _HEAP_UNPACKED_ENTRY]    [+0x000] PreviousBlockPrivateData : 0x0 [Type: void *]    [+0x008] Size             : 0x8d69 [Type: unsigned short]    [+0x00a] Flags            : 0xfd [Type: unsigned char]    ...0:004> dp 00000000004a0000+0x80 L400000000`004a0080  00000000`00000000 000076a1`cefd8d6900000000`004a0090  0000ff00`00000000 00000000`eeffeeff

    可以看到 Encoding 中的 Size 偏移是 +0x008,所以我们硬件条件断点的偏移值是 0x88 ,命令为 ba r4 00000000004a0000+0x88 ,设置好之后就可以继续 go 啦。

    C#非托管泄漏中HEAP_ENTRY的Size为什么会对不上

    从图中可以看到在 ntdll!RtlpAllocateHeap+0x55c 方法处成功命中,从汇编中可以看到。

    • eax: 这是 Encoding ,即我们硬件断点。

    • edi: 某个 heap_entry 的 size 掩码值。

    最后就是做一个 xor 异或操作,也就是正确的 size 值。

    0:000> r eax,edi
    eax=cefd8d69 edi=18fd8ab8
    0:000> ? eax ^ edi
    Evaluate expression: 3590326225 = 00000000`d60007d1
    0:000> ? 07d1 * 0x10
    Evaluate expression: 32016 = 00000000`00007d10

    可以看到最后的size=7d10, 这里为什么乘 0x10,过一会再说,接下来我们找一下 edi 所属的堆块。

    3. 寻找 edi 所属的堆块

    要想找到所属堆块,可以用内存搜索的方式,再用 !heap -x 观察即可。

    0:000> s-d 0 L?0xffffffffffffffff 18fd8ab800000000`005922b8  18fd8ab8 000056a0 004a0150 00000000  .....V..P.J.....0:000> !heap -x 00000000`005922b8 Entry             User              Heap              Segment               Size  PrevSize  Unused    Flags-------------------------------------------------------------------------------------------------------------00000000005922b0  00000000005922c0  00000000004a0000  00000000004a0000      7d10     20010         0  free 0:000> dt nt!_HEAP_ENTRY 00000000005922c0ntdll!_HEAP_ENTRY   +0x008 Size             : 0x4020   +0x00a Flags            : 0xa3 ''   ...

    有了这些信息就可以纯手工推导了。

    • 获取 Encoding 值。

    0:000> dp 00000000004a0000+0x88 L400000000`004a0088  000076a1`cefd8d69 0000ff00`0000000000000000`004a0098  00000000`eeffeeff 00000000`00400000
    • 获取 size 值。

    0:000> dp 00000000005922b0+0x8 L400000000`005922b8  000056a0`18fd8ab8 00000000`004a015000000000`005922c8  00000000`00a34020 00000000`00000000
    • 异或 size 和 Encoding

    0:000> ? 000076a1`cefd8d69 ^  000056a0`18fd8ab8Evaluate expression: 35192257382353 = 00002001`d60007d10:000> ? 07d1 * 0x10Evaluate expression: 32016 = 00000000`00007d10

    怎么样,最后的size 也是size=7d10, 这和刚才汇编代码中计算的是一致的,这里要乘 0x10 是因为 entry 的粒度按 16byte 计算的,可以用 !heap -h 00000000004a0000 ;观察下方的 Granularity 字段即可。

    0:000> !heap -h 00000000004a0000Index   Address  Name      Debugging options enabled  1:   004a0000     Segment at 00000000004a0000 to 000000000059f000 (000fa000 bytes committed)    Segment at 0000000000970000 to 0000000000a6f000 (000c9000 bytes committed)    Segment at 0000000000a70000 to 0000000000c6f000 (00087000 bytes committed)    Flags:                00000002    ForceFlags:           00000000    Granularity:          16 bytes

    “C#非托管泄漏中HEAP_ENTRY的Size为什么会对不上”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注亿速云网站,小编将为大家输出更多高质量的实用文章!

    文章标题:C#非托管泄漏中HEAP_ENTRY的Size为什么会对不上,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/28938

    (0)
    打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
    亿速云的头像亿速云认证作者
    上一篇 2022年9月22日 下午10:14
    下一篇 2022年9月22日 下午10:15

    相关推荐

    • ai钢笔工具如何使用

      ai钢笔工具的使用方法和技巧: 1、在ai左边工具栏,可以找到“钢笔工具” 2、选中钢笔工具后,在画布上点一个点可以创建锚点。 3、点击第二个点,就能生成一条直线,点第三个点,就能再画出一条直线。以此类推。 4、如果想要绘制曲线,只要点下锚点后,不松开,拖动鼠标就可以了。 5、如果要删除锚点,只要点…

      2022年8月30日
      47200
    • 如何用rank函数排名不重复

      用rank函数排名不重复的方法: 1、首先打开表格,进入你的表格。 2、然后在单元格中输入公式:=RANK(H2,H2:H47,0)可以看到名列前茅行43的排行。 3、然后将书本放在单元格右下角,然后向下拉。 4、最后就可以看到很多的重复排名了,但是没有第二和第三。 5、如果需要不重复就需要在ran…

      2022年8月30日
      3.2K00
    • php二维数组如何求积

      求积步骤:1、定义一个变量并赋值1,语法“$cj=1;”;2、用foreach循环遍历外层数组元素,语法“foreach($arr as $v){//循环体代码}”;3、循环体中,用is_array()、array_product()和“*=”运算符求积即可,语法“if(is_array($v)){…

      2022年9月13日
      35900
    • ftp服务器搭建部署与C#实现ftp文件上传的方法是什么

      一、简介 FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文本协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。…

      2022年9月15日
      73400
    • Redis实现限流器的方法有哪些

      方法一:基于Redis的setnx的操作 我们在使用Redis的分布式锁的时候,大家都知道是依靠了setnx的指令,在CAS(Compare and swap)的操作的时候,同时给指定的key设置了过期实践(expire),我们在限流的主要目的就是为了在单位时间内,有且仅有N数量的请求能够访问我的代…

      2022年9月10日
      45500
    • windows ddu卸载显卡驱动使用问题怎么解决

      ddu卸载显卡驱动怎么用: 1、首先,我们运行“Display Driver Uninstaller.exe”程序软件。 2、打开后,在右下角可以修改为“简体中文” 3、接着在右上角可以选择设备种类,“显卡”或者“声卡” 4、在下方选择我们的设备供应商。 5、选择完成后点击下方按钮,可以恢复设备的默…

      2022年9月21日
      74800
    • windows realtek安装失败如何解决

      解决方法: 方法一: 1、首先我们点击左下角搜索框,搜索“设备管理器” 2、在搜索结果中打开“设备管理器” 3、打开后,展开“音频输入和输出”,将下方所有设备卸载掉。 4、卸载完成后再去尝试安装realtek高清晰音频管理器就可以了。 方法二: 1、安装失败也有可能是我们下载的安装包出现了问题,可以…

      2022年9月20日
      93700
    • 怎么分析Facebook Ads广告业务API接口的源代码泄露漏洞

      发现漏洞 一个多月后,我就发现了存在Facebook Ads广告业务系统API中的一个漏洞。存在漏洞的API是一个图片处理接口,它用于Facebook商户账户上传广告图片,上传的图片会储存在一个名为“/adimages”的目录下,并用base64格式编码。所以,我的测试构想是,在这里的机制中,可以向…

      2022年9月19日
      50100
    • windows todesk如何传输文件

      todesk传输文件的方法 1、 打开ToDesk,进入“设备列表”,选中想要传输的对象 2、选中后,点击右侧的“文件传输”,就能将需要的文件传给对方了 3、或者还有一种方法,就是点击工具栏箭头按钮 4、选择“文件” 5、最后在其中选中文件夹就可以进行文件的传输了。 感谢各位的阅读,以上就是“win…

      2022年9月26日
      1.9K00
    • React调度的原理是什么

      异步调度 问题:由于对于大型的 React 应用,会存在一次更新,递归遍历大量的虚拟 DOM ,造成占用 js 线程,使得浏览器没有时间去做一些动画效果,伴随项目越来越大,项目会越来越卡。 对比Vue: Vue 有这 template 模版收集依赖的过程,轻松构建响应式,使得在一次更新中,Vue 能…

      2022年9月21日
      48900
    站长微信
    站长微信
    电话联系

    400-800-1024

    工作日9:30-21:00在线

    分享本页
    返回顶部