当前位置:网站首页>win32:堆破壞的dump文件分析

win32:堆破壞的dump文件分析

2022-07-03 17:52:00 修的什麼真

  • win32堆結構

        在解决實際問題以前,先來了解一下相關概念

        1. 堆結構

        堆->段->塊

        堆是由段,段是由塊組成的,塊就是用戶最終向系統申請的虛擬內存的數據結構。(目前我們用戶態程序只需要理解塊就可以了)

        2. _HEAP_ENTRY結構

每個堆,每個段,每個塊都會有相應的_HEAP_ENTRY結構,裏面描述了該區域內容的信息。比如塊的_HEAP_ENTRY結構就存放了所屬的堆,段,前項大小和當前大小等信息。

  • windbg堆的相關命令
  1. 查看所有堆的概覽信息:!heap -s
  2. 某個堆所有的段和塊信息:!heap -a 0xXXXXXXXX
  3. 查看某個內存地址所在的_HEAP_ENTRY信息:!heap -x 0xXXXXXXXX
  4. 統計某個堆的概覽信息:!heap -stat -h 0xXXXXXXXX
  5. 列出所有大小為X的塊地址:!heap -flt s X
  6. 查看堆的調試支持:!gflag
  7. 查看內存塊的內容 dc 0xXXXXXXXX

  • 堆破壞的調試

        1. 什麼叫做堆破壞

        堆破壞其實就是塊破壞,由於對超出地址所在分配的空間讀寫,導致破壞了_HEAP_ENTRY結構(如果是CRT堆,就是破壞了CRT堆的末尾檢查結構,甚至破壞了下一個塊的結構)

        2. 一個堆破壞的例子

        這裏故意寫了一個越界的操作,編譯成release版本,用windbg掛上去

        查看一下ptr的值

        查看一下ptr所在的_HEAP_ENTRY結構,發現屬於00b30000這個堆,在00b34420這個塊裏面

        我們看到上述塊後續的塊都已經被破壞,所以堆破壞的特征基本就長這樣。但是該例程並不會導致崩潰。

        3. 總結一下分析思路

        a) 找到該崩潰的塊所在的堆(可以根據地址範圍判斷)。

        b) 查看該堆所有塊信息。

        c) 從最後一個尚未被破壞的塊找到相應的信息。(如果業務邏輯是從小往大地址寫,就會破壞往後塊,否則就是相反)

原网站

版权声明
本文为[修的什麼真]所创,转载请带上原文链接,感谢
https://yzsam.com/2022/184/202207031750160959.html

边栏推荐

猜你喜欢

随机推荐