DUMP文件分析6:简单的堆破坏示例
本節,我們來看一個簡單的堆破壞示例,程序依舊來自前面的示例,Crash Me!按鈕的消息函數如下:
void Cdump3Dlg::OnBnClickedButton1() {int* a = new int[1000];for( int i = 0; i < 1005; i++ )a[i] = i;printf("%d\n", a[0]);delete [] a; }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
我們讓new分配的數組訪問越界,看看會產生什么結果。本節采用程序的方式來采集DUMP,同時,堆分析需要比較多的信息,因此,MiniDumpWriteDump函數中的Minidump類型寫為MiniDumpWithFullMemory,而不是原來的MiniDumpNormal。Visual Studio中的Debug模式下使用的堆為調試堆,具有額外的檢查功能,可以檢查出堆破壞。我們使用Release模式編譯。運行程序,程序出錯,并自動保存了mini.dmp文件:?
?
拖入Windbg中,輸入 !analyze -v 自動分析。先看看出錯的位置及異常信息:?
?
顯示出錯在RtlpAllocateHeap函數中,那必然是調用new或malloc時出錯。異常代碼為c0000005,非法訪問,在RtlpAllocateHeap內部產生了非法訪問?我們再來看看棧回溯:?
?
顯示是在OnBnClickedButton1中調用printf函數時出的錯。看看我們的代碼:?
printf(“%d\n”, a[0]);?
這句也能出錯?沒有任何越界訪問啊?再看看棧回溯,大概是這個樣子的:?
?
也就是說,是printf內部調用了malloc導致出錯。那么我們上一節說過,庫函數使用VC運行時的堆_crtheap,任何時候這個堆被破壞,后續對該堆的操作都可能會出錯,這個示例就是典型的這種情況。所以不要再懷疑Visual Studio為什么printf函數也會崩潰了。
使用Windbg的 !heap指令來查看一下:?
?
Windbg檢查到堆錯誤,錯誤的地址為0073c4b8,進程中有8個堆,出錯的是第4個。你可以加 -h選項來列出所有的堆:?
?
4號堆已經使用了兩個段。查看4號堆,還可以獲得更多的信息:?
?
來看看錯誤提示消息,這很有意思:?
PreviousSize field does not match Size field in previous entry?
Entry->PreviousSize == 0x3e8?
PreviousEntry->Size == 0x2a2?
PreviousSize 和Size 均位于結構 HEAP_ENTRY中,每個小的堆塊前面都是一個HEAP_ENTRY結構,用來保存該塊的信息:?
?
HEAP_ENTRY結構中有一些重要的字段:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
那么錯誤的意思就是當前塊的HEAP_ENTRY結構中保存的前一個堆塊的大小(PreviousSize)與前一個堆塊的實際大小(Size)不一致。這說明前一個堆塊發生了溢出,修改了后一個堆塊的HEAP_ENTRY結構。這實際上就是堆破壞的根本原因,堆通過一系列結構來管理,一旦對堆的操作越界,破壞了這些用來管理堆的結構,堆就無法再正常工作了。讀者還可以繼續跟蹤實際的堆塊(Chunk),我就不再繼續了。
總結
以上是生活随笔為你收集整理的DUMP文件分析6:简单的堆破坏示例的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ASP.NET-后台cookie与前台J
- 下一篇: 1-9:学习shell之权限