专栏名称: 吾爱破解论坛
吾爱破解论坛致力于软件安全与病毒分析的前沿,丰富的技术版块交相辉映,由无数热衷于软件加密解密及反病毒爱好者共同维护,留给世界一抹值得百年回眸的惊艳,沉淀百年来计算机应用之精华与优雅,任岁月流转,低调而奢华的技术交流与探索却
目录
相关文章推荐
题材小表格  ·  新方向!最新A股数据出海概念股梳理 ·  昨天  
题材小表格  ·  新方向!最新A股数据出海概念股梳理 ·  昨天  
李东阳朋友圈  ·  涉黄的母婴APP,绑架男男女女 ·  昨天  
看雪学苑  ·  SDC2024 议题回顾 | ... ·  2 天前  
中国半导体论坛  ·  刚刚!柔宇被裁定破产! ·  2 天前  
中国半导体论坛  ·  刚刚!柔宇被裁定破产! ·  2 天前  
锌财经  ·  100万飞出地球外,国内开启太空旅游 ·  1 周前  
锌财经  ·  100万飞出地球外,国内开启太空旅游 ·  1 周前  
51好读  ›  专栏  ›  吾爱破解论坛

【调试逆向】学会使用WinDBG定位程序Bug

吾爱破解论坛  · 公众号  · 互联网安全  · 2017-04-21 14:25

正文

0x1工作环境
系统:win7 32bit sp1
Windbg: 6.12.0002.633 x86
测试程序:通过com接口获得系统计划任务

0x2被调试程序说明
被调试程序是一个通过com接口获取windows的计划任务列表的程序。
崩溃时的提示信息


0x3启动winDbg开始调试
个人喜欢使用bat脚本文件来打开windbg调试程序。
我的脚本文件内容如下
start """C:\Program Files\Debugging Tools for Windows (x86)\windbg.exe""C:\Users\ky1-2\Desktop\MyTest\Bin\Debug\GetTaskScheduler.exe"
C:\Program Files\Debugging Tools forWindows (x86)\windbg.exe 是windbg的目录
C:\Users\ky1-2\Desktop\MyTest\Bin\Debug\GetTaskScheduler.exe是被调试的程序。
双击bat脚本,启动windbg调试GetTaskScheduler.exe


F5运行。运行到崩溃。


错误信息提示为code c0000005地址访问失败。这是第一次抛出的异常。此时该此异常还未任何的处理。改异常出现的位置在73700cc3处。

该指令是将一个内容赋值给73700c98。也就是说,在执行73700cc3指令时,向73700c98地址写入数据时失败了。
接下来使用!address 命令查看该地址所在内存页的属性信息


Allocation Base: 动态分配内存单元的始地址。Base Address:是基地址,例如,装入一个模块,从某地址开始存放。这个始地址就是BaseAddress。

Allocation Base 和Base Address的区别主要在于前者用于模块,可以看成 程序块始地址。后者用于数据,可以看成数据块始地址。
Protect:内存页的属性信息。PAGE_EXECUTE_READ是可读可执行。通过上面的信息可以看到73700c98的属性是可执行、可读。没有写入的属性。
这时就要通过堆栈查看调用信息,找到最近的一次非系统模块的调用。
这样做的原因是,系统模块崩溃的可能性比较小,而且如果系统模块崩溃大多数原因在于用户调用时出现了问题。
所以这里选择查看最近的一次非系统模块的调用函数的信息。
补充:与内存相关的指令
.dvalloc申请虚拟内存
.dvfree释放虚拟内存
.writemem写内存到文件
.readmem读文件到内存
!address 内存信息查看
!vprot   看虚拟内存保护属性
接下来,通过kn命令查看调用堆栈信息


先来介绍一下kn命令显示信息的含义。
kn命令显示四列,第一列是#代表调用堆栈中函数的编号,
ChildEBP代表该该函数调用的子函数的栈底指针即子函数的EBP,
RetAddr代表该函数返回到父函数时的地址,
第四列是返回地址对应的模块信息。
例如上图第6行。03在调用栈的编号是03,001df2a4是编号为02的函数的栈底即FillTaskSchedulerInfoHigh函数的EBP指针,
013f481e 是编号为04的函数的地址及编号为03的函数执行完后返回到父函数的013f481e地址,
GetTaskScheduler!EnumTaskFolder+0x4d7意思是编号为03的函数下一步要执行的指令地址013f4b07(就是上一行中的RetAddr的地址013f4b07)位于GetTaskScheduler模块的EnumTaskFolder函数偏移0x4d7个字节处。
好了,了解了这些,下面开始分析调用栈。
通过上图的调用堆栈定位到最近的一次非系统模块是GetTaskScheduler!FillTaskSchedulerInfoHigh函数。
FillTaskSchedulerInfoHigh函数在0x013f41a4地址指令的上一条指令调用了IComHandlerAction的虚函数。
所以下一步就要进入 FillTaskSchedulerInfoHigh函数查看0x013f41a4之前的反汇编代码以及FillTaskSchedulerInfoHigh函数里用到的变量信息。
补充:
kP命令可以在调用堆栈中显示函数的参数传递情况。且参数自动换行对齐。如下图:


使用.frame 2命令切换到FillTaskSchedulerInfoHigh函数。

使用ub 013f41a4查看调用taskschd!ATL::CComObject>::`scalar deleting destructor'函数的代码信息
使用dv /i /V命令,查看当前函数用到的变量信息。


通过反汇编代码可以看出在Call ecx指令之前访问了ebp-0x50处的地址,而ebp-0x50正式是pExecAction的地址。
所以Call ecx指令与pExecAction有莫大关系。
接下来分析pExecAction这个局部变量。
使用dt 命令查看变量详细信息
 


pExecAction的类型是IExecAction*指针。该对象只有一个虚函数表。下面来分析该对象的虚函数表


013f419f 8b4a38          mov     ecx,dword ptr [edx+38h]
[edx+38h]是0x736f2b30。即虚函数表的第15(38h/4h+1)个函数。
现在虚拟表的第15个函数是IComHandlerAction类的成员函数。
而IExecAction的第15个虚函数是什么?
还有IExecAction与IComHandlerAction到底有什么关系哪?
补充1:
如果dt命令使用不了怎么判断pExecAction是一个类对象哪?
013f4196 8b4db0   mov     ecx,dword ptr[ebp-50h] 把pExecAction赋值给ecx
013f4199 8b11      mov     edx,dword ptr[ecx] 把pExecAction指针的内容赋值给edx
....//没有对edx的赋值操作
013f419f8b4a38     mov     ecx,dword ptr [edx+38h]通过edx+38h取址,可以推测pExecAction指向的地址可能是一个类对象或结构体对象。

Msdn一下:
 
 
 
 
通过msdn可知 IComHandlerAction和IExecAction都是IAction的子类
通过虚拟表可知第15个函数是put_Data后面的函数,所以推断出IExecAction的第15个虚函数是get_WorkingDirectory即IExecAction的第5个函数.
补充:虚函数表的继承关系 
1.   一般继承(无虚函数覆盖)我们可以看到下面几点:
1)  虚函数按照其声明顺序放于表中。
2)  父类的虚函数在子类的虚函数前面。
2.   一般继承(有虚函数覆盖)
覆盖父类的虚函数是很显然的事情,不然,虚函数就变得毫无意义。下面,我们来看一下,如果子类中有虚函数重载了父类的虚函数,会是一个什么样子?假设,我们有下面这样的一个继承关系。
 


为了让大家看到被继承过后的效果,在这个类的设计中,我只覆盖了父类的一个函数:f()。那么,对于派生类的实例,其虚函数表会是下面的一个样子:
 


我们从表中可以看到下面几点,
1)  覆盖的f()函数被放到了虚表中原来父类虚函数的位置。
2)  没有被覆盖的函数依旧。
3.   多重继承(无虚函数覆盖)下面,再让我们来看看多重继承中的情况,假设有下面这样一个类的继承关系。注意:子类并没有覆盖父类的函数。
 


对于子类实例中的虚函数表,是下面这个样子:
 


我们可以看到:
1)  每个父类都有自己的虚表。
2)  子类的成员函数被放到了第一个父类的表中。(所谓的第一个父类是按照声明顺序来判断的)这样做就是为了解决不同的父类类型的指针指向同一个子类实例,而能够调用到实际的函数。
4.   多重继承(有虚函数覆盖)下面我们再来看看,如果发生虚函数覆盖的情况。下图中,我们在子类中覆盖了父类的f()函数。
    


下面是对于子类实例中的虚函数表的图:
 

再进一步分析虚拟表的函数:
 
通过红线标注的位置尤其是put_id, put_ClassId, put_Data几个函数基本可以断定,ebp-0x50处的地址的指针应该是IComHandlerAction类型的指针而不是IExecAction类型的指针。
现在找到了问题的真相,下面就要确定问题的原因了。猜测问题是程序将ebp-0x50处的指针强制转成了IExecAction指针并访问了IExecAction的成员函数get_WorkingDirectory。
接下来要验证我们的想法。分析到这里了应该可以看源码了。

0x4源码分析
 
可以查出Line192将pExecAction强制转化成了父指针,且没有判断pExecAction的类型是不是IExecAction.所以,当pActions->get_Item()获得到的IAction不是IExecAction时就会出问题或者崩溃了。
改进方法

--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52

推荐文章
李东阳朋友圈  ·  涉黄的母婴APP,绑架男男女女
昨天
中国半导体论坛  ·  刚刚!柔宇被裁定破产!
2 天前
中国半导体论坛  ·  刚刚!柔宇被裁定破产!
2 天前
冲蒌老伍  ·  靓女啊,你裸佐我条命好过啦
7 年前
哈哈搞笑视频  ·  什么叫过年?这回答绝了!
7 年前
反腐前沿  ·  最新!杭州通报两起严重违纪案件
7 年前
名师联庭院景观智库  ·  细节处理,感动你我
7 年前