这一期程序故障除了做原理分析,还顺带吐槽一下,熟悉我的朋友都知道我分析dump是免费的,但免费不代表可以滥用我的宝贵时间,我不知道有些人故意恶搞卡死是想干嘛,不得而知,希望后面类似的事情越来越少吧!废话不多说,我们来看看是如何被恶搞的。
既然是窗体程序自然就是看主线程,我们使用 k 命令即可。
0:000> k # Child-SP RetAddr Call Site00 00000036`e1f7da18 00007ffe`70bf30ce ntdll!NtWaitForSingleObject+0x1401 00000036`e1f7da20 00007ffd`eff74910 KERNELBASE!WaitForSingleObjectEx+0x8e...05 (Inline Function) --------`-------- coreclr!CLREventBase::Wait+0x12 [D:/a/_work/1/s/src/coreclr/vm/synch.cpp @ 412] 06 00000036`e1f7db20 00007ffd`f00c9afa coreclr!Thread::WaitSuspendEventsHelper+0xc8 [D:/a/_work/1/s/src/coreclr/vm/threadsuspend.cpp @ 4626] 07 (Inline Function) --------`-------- coreclr!Thread::WaitSuspendEvents+0x8 [D:/a/_work/1/s/src/coreclr/vm/threadsuspend.cpp @ 4663] 08 00000036`e1f7dbe0 00007ffd`f0009c80 coreclr!Thread::RareEnablePreemptiveGC+0x7d99a [D:/a/_work/1/s/src/coreclr/vm/threadsuspend.cpp @ 2414] 09 (Inline Function) --------`-------- coreclr!Thread::EnablePreemptiveGC+0x16 [D:/a/_work/1/s/src/coreclr/vm/threads.h @ 2044] 0a 00000036`e1f7dc20 00007ffd`f0075d10 coreclr!Thread::RareDisablePreemptiveGC+0xc8 [D:/a/_work/1/s/src/coreclr/vm/threadsuspend.cpp @ 2156] 0b 00000036`e1f7dca0 00007ffd`f0096a5f coreclr!JIT_ReversePInvokeEnterRare2+0x18 [D:/a/_work/1/s/src/coreclr/vm/jithelpers.cpp @ 5462] 0c 00000036`e1f7dcd0 00007ffd`907afe09 coreclr!JIT_ReversePInvokeEnterTrackTransitions+0xaf [D:/a/_work/1/s/src/coreclr/vm/jithelpers.cpp @ 5509] 0d 00000036`e1f7dd00 00007ffe`72e0e858 0x00007ffd`907afe090e 00000036`e1f7dd80 00007ffe`72e0e3dc user32!UserCallWinProcCheckWow+0x2f80f 00000036`e1f7df10 00007ffe`72e20c93 user32!DispatchClientMessage+0x9c10 00000036`e1f7df70 00007ffe`730f0e64 user32!_fnDWORD+0x3311 00000036`e1f7dfd0 00007ffe`70b31104 ntdll!KiUserCallbackDispatcherContinue12 00000036`e1f7e058 00007ffe`72e21c0e win32u!NtUserGetMessage+0x1413 00000036`e1f7e060 00007ffe`711e28f2 user32!GetMessageW+0x2e...1d 00000036`e1f7e460 00007ffd`f009ba53 xxx!xxx.App.Main+0x5e...2a 00000036`e1f7f140 00007ffe`4cd4e1e6 hostfxr!execute_app+0x2fa [D:/a/_work/1/s/src/native/corehost/fxr/fx_muxer.cpp @ 145] ...34 00000036`e1f7f890 00000000`00000000 ntdll!RtlUserThreadStart+0x21从卦中的调用栈可以看到,主线程通过 GetMessageW 从消息队列中拿到了数据,在处理时被 coreclr 押解到 WaitSuspendEventsHelper 处等待一个event事件,接下来看下这个方法的源码到底是怎么写的?简化后如下:
BOOL Thread::WaitSuspendEventsHelper(void){ if (m_State & TS_DebugSuspendPending) { ThreadState oldState = m_State; while (oldState & TS_DebugSuspendPending) { ThreadState newState = (ThreadState)(oldState | TS_SyncSuspended); if (InterlockedCompareExchange((LONG*)&m_State, newState, oldState) == (LONG)oldState) { result = m_DebugSuspendEvent.Wait(INFINITE, FALSE); break; } oldState = m_State; } } return result != WAIT_OBJECT_0;}从上面的代码可以明显的看到当前Thread 处于 TS_DebugSuspendPending 状态,从名字上看貌似和调试有关,接下来查下这个枚举的注解。
enum ThreadState{ TS_DebugSuspendPending = 0x00000008, // Is the debugger suspending threads?}从注解看是因为调试器阻塞了这个线程,我去,哪里来的调试器呢?这引起了我的巨大兴趣。。。
我刚开始是抱有巨大的善意,我以为他的程序被人恶意注入导致卡死,但分析下来我还是太单纯了,继续往下看吧,既然有调试器,一般来说PEB.BeingDebugged=Yes状态,命令的输出结果也得到了证实。
0:000> !pebPEB at 00000036e1c11000 ... BeingDebugged: Yes ... Base TimeStamp Module 7ff7f5230000 65310000 Oct 19 18:08:00 2023 G:/xxx/C#/Projects/NugetApplications/Applications/xxx/bin/Debug/net6.0-windows/xxx.exe ...我以为到这里就可以告诉朋友答案,你的程序可能被人恶意注入了,但眼尖的我发现了一点异常,他的 xxx.exe 启动目录怎么会有 /bin/Debug/net6.0-windows/ 呢?很明显这是用 VS 直接跑起来的呀。。。。
首先大家要知道 Visual Studio 是托管调试器,托管调试器在调试程序的时候会在 coreclr 层面设置一个全局变量 g_CORDebuggerControlFlags=0x0200,这也是 Debugger.IsAttached 的底层判断依据,不相信的朋友可以看下这个方法的底层实现:
FCIMPL0(FC_BOOL_RET, DebugDebugger::IsDebuggerAttached){ CORDebuggerAttached();}inline bool CORDebuggerAttached(){ return (g_CORDebuggerControlFlags & DBCF_ATTACHED);}enum DebuggerControlFlag{ DBCF_ATTACHED = 0x0200,};有了这些基础知识之后,接下来就可以用 x 命令去验证下。
看到上面的答案基本就可以实锤了,有些朋友可能还是不大相信,我们可以这样看,VisualStudio 是 WPF 写的,如果用 VS 来调试,那么线程栈里面应该会有很多类似的 VisualStudio 字符串。
从卦中看,你说正常发布的程序怎么可能会有 9 个 Microsoft.VisualStudio.DesignTools 字符串呢?
这个问题我相信可能有一些朋友会比较疑惑,其实没什么疑惑的,Visual Studio 有生成Dump的功能,操作步骤为:Debug -> Save Dump As... , 接下来通过一个小例子观察一下。
internal class Program { static void Main(string[] args) { Console.WriteLine($"托管调试器:{Debugger.IsAttached}"); Console.WriteLine($"非托管调试器:{IsDebuggerPresent()}"); Console.ReadLine(); } [DllImport("kernel32.dll")] static extern bool IsDebuggerPresent(); }调试起来后,截图如下:
最后打开生成好的 Dump 文件,使用 kc 观察主线程的输出:
0:000> kc # Call Site00 ntdll!NtWaitForSingleObject01 KERNELBASE!WaitForSingleObjectEx02 coreclr!CLREventWaitHelper203 coreclr!CLREventWaitHelper04 coreclr!CLREventBase::WaitEx05 coreclr!CLREventBase::Wait06 coreclr!Thread::WaitSuspendEventsHelper07 coreclr!Thread::WaitSuspendEvents08 coreclr!Thread::RareEnablePreemptiveGC09 coreclr!Thread::EnablePreemptiveGC0a coreclr!Thread::RareDisablePreemptiveGC0b coreclr!Thread::DisablePreemptiveGC...19 ConsoleApp4!ConsoleApp4.Program.Main...30 ntdll!RtlUserThreadStart从卦中看,正是停留在 WaitSuspendEventsHelper 函数里,一摸一样,彻底被360°无死角的证实......
这是一次人为的故意恶搞,大概率就是想看下我到底是骡子是马。我分析的结果对他和他所在的公司来说没有任何价值,只能白白的浪费我的时间,真是分析多了,什么样的人都能遇到,谨以此文告知后来者,免费但请不要滥用!
本文链接:http://www.28at.com/showinfo-26-91362-0.html记一次 .NET某工控WPF程序被人恶搞的卡死分析
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com
上一篇: 每个前端开发人员都应该了解的软件工程原理
Copyright © 2016-2023 天津谷骐科技有限公司 版权所有 sitemap.xml
违法及侵权请联系:2376512515@qq.com 津ICP备18001702号
津公网安备 12010102000574号
