51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

记一次 .NET 某企业采购平台 崩溃分析

作者:一线码农聊技术
开发 架构
这次崩溃事故的直接原因是由于第三方安全软件的介入导致的,因 ComPreStubWorker​ 是加壳程序和蠕虫病毒注入的突破口,不管怎样还是希望安全软件对高危函数 ComPreStubWorker 的照护逻辑再优化下吧,减少误杀的发生。

一:背景

1. 讲故事

前段时间有个朋友找到我,说他们的程序有偶发崩溃的情况,让我帮忙看下怎么回事,针对这种 crash 的程序,用 AEDebug 的方式抓取一个便知,有了 dump 之后接下来就可以分析了。

二:Windbg 分析

1. 为什么会崩溃

既然是程序的崩溃,我们可以像看蓝屏一下看dump文件,使用 !analyze -v 命令即可。

0:000> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************
CONTEXT:  (.ecxr)
rax=0000000000000000 rbx=0000000000f7ccb0 rcx=00007ffe23af7ab0
rdx=00000000013e3b10 rsi=0000000000f7ccb0 rdi=0000000000f7c7c0
rip=00007ffe538e7044 rsp=0000000000f7cf60 rbp=0000000000f7d770
 r8=0000000000000001  r9=000000f7000006bd r10=0000000000f7d640
r11=0000000000f7cf50 r12=0000000000000001 r13=0000000000000001
r14=000000005c520126 r15=00000000013e3b10
iopl=0         nv up ei pl nz na po nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010204
clr!ComPreStubWorker+0xf2e54:
00007ffe`538e7044 f6403820        test    byte ptr [rax+38h],20h ds:00000000`00000038=??
Resetting default scope

EXCEPTION_RECORD:  (.exr -1)
ExceptionAddress: 00007ffe538e7044 (clr!ComPreStubWorker+0x00000000000f2e54)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000001
NumberParameters: 2
   Parameter[0]: 0000000000000000
   Parameter[1]: 0000000000000038
Attempt to read from address 0000000000000038

PROCESS_NAME:  xxx.exe

READ_ADDRESS:  0000000000000038 

ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%p            0x%p                    %s

EXCEPTION_CODE_STR:  c0000005

EXCEPTION_PARAMETER1:  0000000000000000

EXCEPTION_PARAMETER2:  0000000000000038

STACK_TEXT:  
00000000`00f7cf60 00007ffe`538e7044 clr!ComPreStubWorker+0xf2e54
00000000`00f7d590 00007ffe`53712d62 clr!ComCallPreStub+0x62
00000000`00f7d660 00007ffe`1de3ba83 wwkrn64+0xba83
00000000`00f7d740 00007ffe`638ebc70 ole32!CPrivDragDrop::PrivDragDrop+0x2b0
00000000`00f7d790 00007ffe`638eb98c ole32!PrivDragDrop+0x198
00000000`00f7d830 00007ffe`638a9c1e ole32!CDragOperation::GetDropTarget+0xee
00000000`00f7d8b0 00007ffe`638ac239 ole32!CDragOperation::UpdateTarget+0x4cd
....

从上面的信息看,这个程序是一个经典的 访问违例 异常,违例是因为 rax=0 导致读取了不该读取的地方,接下来我们切到异常上下文看下为什么会是 0 ?

2. eax 为什么会是 0

要想切到异常上下文,先使用 .ecxr 命令,再使用 ub 反汇编。

0:000> .ecxr
rax=0000000000000000 rbx=0000000000f7ccb0 rcx=00007ffe23af7ab0
rdx=00000000013e3b10 rsi=0000000000f7ccb0 rdi=0000000000f7c7c0
rip=00007ffe538e7044 rsp=0000000000f7cf60 rbp=0000000000f7d770
 r8=0000000000000001  r9=000000f7000006bd r10=0000000000f7d640
r11=0000000000f7cf50 r12=0000000000000001 r13=0000000000000001
r14=000000005c520126 r15=00000000013e3b10
iopl=0         nv up ei pl nz na po nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010204
clr!ComPreStubWorker+0xf2e54:
00007ffe`538e7044 f6403820        test    byte ptr [rax+38h],20h ds:00000000`00000038=??

0:000> ub 00007ffe`538e7044
clr!ComPreStubWorker+0xf2e20:
00007ffe`538e7010 0f8591d3f0ff    jne     clr!ComPreStubWorker+0x1b4 (00007ffe`537f43a7)
00007ffe`538e7016 488b0e          mov     rcx,qword ptr [rsi]
00007ffe`538e7019 488d81b8ffffff  lea     rax,[rcx-48h]
00007ffe`538e7020 48898424c0050000 mov     qword ptr [rsp+5C0h],rax
00007ffe`538e7028 48898424b8050000 mov     qword ptr [rsp+5B8h],rax
00007ffe`538e7030 488b89c0ffffff  mov     rcx,qword ptr [rcx-40h]
00007ffe`538e7037 e8fcfcebff      call    clr!MethodTable::GetComCallWrapperTemplate (00007ffe`537a6d38)
00007ffe`538e703c 48898424b0050000 mov     qword ptr [rsp+5B0h],rax

从汇编代码看,rax 是 clr!MethodTable::GetComCallWrapperTemplate 方法的返回值,从方法名字看是一个经典的 COM 和 .NET 互操作,接下来继续用 uf 反汇编看下这个方法,精简后的代码如下:

0:000> uf clr!MethodTable::GetComCallWrapperTemplate
00007ffe`537a6d38 48895c2408      mov     qword ptr [rsp+8],rbx
00007ffe`537a6d3d 57              push    rdi
...
00007ffe`537a6d57 488bcb          mov     rcx,rbx
00007ffe`537a6d5a e8c943f7ff      call    clr!MethodTable::GetClass (00007ffe`5371b128)
00007ffe`537a6d5f 488b4030        mov     rax,qword ptr [rax+30h]
...

再结合 coreclr 源码:

inline ComCallWrapperTemplate *MethodTable::GetComCallWrapperTemplate()
{
    LIMITED_METHOD_CONTRACT;
    return GetClass()->GetComCallWrapperTemplate();
}

class EEClass // DO NOT CREATE A NEW EEClass USING NEW!
{
    ComCallWrapperTemplate* m_pccwTemplate;   // points to interop data structures used when this type is exposed to COM

    inline ComCallWrapperTemplate *GetComCallWrapperTemplate()
    {
        LIMITED_METHOD_CONTRACT;
        return m_pccwTemplate;
    }
}

到这里大概能推测到是因为 EEClass.m_pccwTemplate 字段为 null 所致,从注释看,他是 CLR 用来暴露给 COM 使用的数据结构,那为什么暴露给 COM 使用的数据结构为 NULL 呢? 这个分析起来就复杂了。

但有一点可以确定,像这种逻辑必然是 坚如磐石,受过日月精华,经历过500年的风吹雨打,不可能无缘无故的出篓子。

3. 出路在哪里

要寻找突破口还得从调用栈入手,我们用 k 命令洞察一下。

0:000> k
  *** Stack trace for last set context - .thread/.cxr resets it
 # Child-SP          RetAddr               Call Site
00 00000000`00f7cf60 00007ffe`53712d62     clr!ComPreStubWorker+0xf2e54
01 00000000`00f7d590 00007ffe`1de3ba83     clr!ComCallPreStub+0x62
02 00000000`00f7d660 00007ffe`638ebc70     wwkrn64+0xba83
03 00000000`00f7d740 00007ffe`638eb98c     ole32!CPrivDragDrop::PrivDragDrop+0x2b0 [com\ole32\com\rot\getif.cxx @ 659] 
04 00000000`00f7d790 00007ffe`638a9c1e     ole32!PrivDragDrop+0x198 [com\ole32\com\rot\getif.cxx @ 920] 
05 00000000`00f7d830 00007ffe`638ac239     ole32!CDragOperation::GetDropTarget+0xee [com\ole32\ole232\drag\drag.cpp @ 1128] 
06 00000000`00f7d8b0 00007ffe`638ac91c     ole32!CDragOperation::UpdateTarget+0x4cd [com\ole32\ole232\drag\drag.cpp @ 2026] 
07 00000000`00f7d9a0 00007ffe`2443f664     ole32!DoDragDrop+0x10c [com\ole32\ole232\drag\drag.cpp @ 3007] 
08 00000000`00f7dc80 00007ffe`244ccd8d     System_Windows_Forms_ni+0x9cf664
...

仔细观察线程栈信息,不难发现用户是在用 DoDragDrop 方法实现控件的拖拽,不过在执行流中有一个陌生的动态链接库 wwkrn64,它到底是何方神圣呢?我们用 lmvm 观察下。

0:000> lmvm wwkrn64
Browse full module list
start             end                 module name
00007ffe`1de30000 00007ffe`1df1e000   wwkrn64  C (export symbols)       wwkrn64.dll
    Loaded symbol image file: wwkrn64.dll
    Image path: D:\xxx\wwall\wwkrn64.dll
    Image name: wwkrn64.dll
    Browse all global symbols  functions  data
    Timestamp:        Wed Apr 26 10:18:26 2023 (644889F2)
    CheckSum:         00000000
    ImageSize:        000EE000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:

从输出信息看,果然是一个外来物种,经过网上一顿搜索,发现是一款 信息安全软件,哪家公司就模糊了哈,截图如下:

图片

到这里就真相大白了,让朋友把这款软件卸载掉再试试看,问题就解决了。

4. 安全软件为什么要介入

我这里只能简单推测一下,ComCallPreStub 和 ComPreStubWorker 方法是 JIT 在编译某一个方法时的前缀路径,也是很多 加壳软件 以及 永恒之蓝 这样的蠕虫病毒重点关注的方法,所以这些高危方法自然也是 安全软件 重点监视的,如果 安全软件 没处理好,自然就会误杀。。。

当然真正的原因只能问 系铃人 。

可能有些朋友要说了,怎么验证这两个方法就是 JIT 编译的前缀,这里我们用 普通方法+windbg 的方法简单验证下吧,参考代码如下:

internal class Program
    {
        static void Main(string[] args)
        {
            Debugger.Break();
            Test();
            Console.ReadLine();
        }

        static void Test()
        {
            Console.WriteLine("Test1");
        }
    }

接下来我们重点观察下 Test 方法的编译过程,看过程之前先上一张架构图:

图片

从架构图看 Test() 方法的编译最终是由 clrjit!jitNativeCode 来处理的,要想验证很简单用 bp clrjit!jitNativeCode 下一个断点即可。

0:000> bp clrjit!jitNativeCode
0:000> g
Breakpoint 0 hit
clrjit!jitNativeCode:
00007ffb`590cc040 4c894c2420      mov     qword ptr [rsp+20h],r9 ss:0000009c`5efed218=0000000000000000
0:000> k
 # Child-SP          RetAddr               Call Site
00 0000009c`5efed1f8 00007ffb`5917d683     clrjit!jitNativeCode [D:\a\_work\1\s\src\coreclr\jit\compiler.cpp @ 6941] 
01 0000009c`5efed200 00007ffb`594d3091     clrjit!CILJit::compileMethod+0x83 [D:\a\_work\1\s\src\coreclr\jit\ee_il_dll.cpp @ 279] 
02 (Inline Function) --------`--------     coreclr!invokeCompileMethodHelper+0x86 [D:\a\_work\1\s\src\coreclr\vm\jitinterface.cpp @ 12774] 
03 (Inline Function) --------`--------     coreclr!invokeCompileMethod+0xc5 [D:\a\_work\1\s\src\coreclr\vm\jitinterface.cpp @ 12839] 
04 0000009c`5efed270 00007ffb`594d274d     coreclr!UnsafeJitFunction+0x7f1 [D:\a\_work\1\s\src\coreclr\vm\jitinterface.cpp @ 13355] 
05 0000009c`5efed760 00007ffb`594d22ce     coreclr!MethodDesc::JitCompileCodeLocked+0x1f1 [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 1051] 
06 0000009c`5efed930 00007ffb`59472009     coreclr!MethodDesc::JitCompileCodeLockedEventWrapper+0x466 [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 920] 
07 0000009c`5efeda90 00007ffb`59473f58     coreclr!MethodDesc::JitCompileCode+0x2a9 [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 860] 
08 (Inline Function) --------`--------     coreclr!MethodDesc::PrepareILBasedCode+0x5ae [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 439] 
09 (Inline Function) --------`--------     coreclr!MethodDesc::PrepareCode+0x5ae [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 332] 
0a 0000009c`5efedb40 00007ffb`5947340c     coreclr!CodeVersionManager::PublishVersionableCodeIfNecessary+0x7f8 [D:\a\_work\1\s\src\coreclr\vm\codeversion.cpp @ 1701] 
0b 0000009c`5efee070 00007ffb`5947316b     coreclr!MethodDesc::DoPrestub+0x16c [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 2215] 
0c 0000009c`5efee190 00007ffb`595abec5     coreclr!PreStubWorker+0x21b [D:\a\_work\1\s\src\coreclr\vm\prestub.cpp @ 2039] 
0d 0000009c`5efee320 00007ffa`f9a0296e     coreclr!ThePreStub+0x55
0e 0000009c`5efee3d0 00007ffb`595aae93     Example_19_1_1!Example_19_1_1.Program.Main+0x2e [D:\skyfly\19.20230624\src\Example\Example_19_1_1\Program.cs @ 10] 
...

如果想在 jitNativeCode 方法中把 md 提取出来的话,可以取 r9 参数。

0:000> !dumpmd poi(r9)
Method Name:          Example_19_1_1.Program.Test()
Class:                00007ffaf9abd520
MethodTable:          00007ffaf9ac8880
mdToken:              0000000006000006
Module:               00007ffaf9ac6908
IsJitted:             no
Current CodeAddr:     ffffffffffffffff
Version History:
  ILCodeVersion:      0000000000000000
  ReJIT ID:           0
  IL Addr:            000001f865be20a7
     CodeAddr:           0000000000000000  (MinOptJitted)
     NativeCodeVersion:  0000000000000000

三:总结

这次崩溃事故的直接原因是由于第三方安全软件的介入导致的,因 ComPreStubWorker 是加壳程序和蠕虫病毒注入的突破口,不管怎样还是希望安全软件对高危函数 ComPreStubWorker 的照护逻辑再优化下吧,减少误杀的发生。

责任编辑:武晓燕 来源: 一线码农聊技术
程序采购平台
相关推荐
一次.NET企业ERP网站系统崩溃分析
这次事故是由于satrda层面找不到文件路径导致的程序崩溃,据朋友说在C层面没收到这种C++异常,确实当C和C++产生交互时经常会有各种奇怪的问题,我无意删除你的,你无意干扰我的,大家都好自为之吧!

2023-03-26 20:24:50

ERP网站系统
一次 .NET防伪验证系统崩溃分析
说实话要想解释这个程序为什么会崩溃,需要分析者对GC的SuspendRuntime​运作逻辑有一定的了解,否则真抓瞎了,所以.NET调试训练营中的GC理论知识一定是分析这些dump的基石。

2024-03-28 12:56:36

一次 .NET 医疗器械 程序崩溃分析
这次偶发的生产崩溃事故,主要原因是朋友的代码在逻辑上出了点问题,没有合理的保护好localResource句柄资源,反复释放导致的ntheap破坏。

2022-10-25 14:17:01

.NET代码程序
一次 .NET 埋线管理系统 崩溃分析
经常有朋友跟我反馈,说看你的文章就像看天书一样,有没有一些简单入手的dump让我们先找找感觉,哈哈,今天就给大家带来一篇入门级的案例,这里的入门是从WinDbg的角度来阐述的,这个问题如果你通过记日志,分析代码的方式,可能真的无法解决,不信的话继续往下看呗!

2023-06-29 17:55:00

.NET日志WinDbg
一次 .NET 半导体CIM系统崩溃分析
从卦中信息看,当前是一个bgc线程,在后台标记对象的时候踩到了0区导致的崩溃,经验告诉我,是不是此时的托管堆损坏了可以用!verifyheap验证下。

2024-03-26 00:44:53

.NETCIM系统
一次 .NET 医院预约平台 内存泄露分析
在我分析的真实dump案例中,见过CastleProxyGenerator​的泄露,也见过CodeAnalysis.CSharp.Scripting​的泄露,还真没见过XmlSerializer的泄露,算是完美的补充了我的案例库!

2023-07-06 10:11:38

.NET模式dump
一次 .NET 企业OA后端服务 卡死分析
在某个时刻输出端窗口因为各种原因被他人独占,导致程序侧无法输出内容到窗口而一直被迫等待,之后朋友将日志输出切换到文件模式,问题得以解决。

2022-10-13 18:40:05

.NETOA后端
一次 .NET 娱乐聊天流平台 CPU 爆高分析
这次生产事故主要是由于高峰期请求量过大,由于某种原因Socket连接关闭,导致了大量的异步回调异常。解决方法在调用端做好限流,据朋友说减少了不必要的https:api.xxxxpeermessages调用,目前没有出现CPU爆高现象。

2022-10-24 07:48:37

.NETCPUGC
一次 .NET 设备监控系统死锁分析
因为是窗体程序,所以看主线程的线程栈就好了,如果卡在用户态​那这个问题相对容易解决,如果卡在内核态这个问题就比较复杂了,需要开启WinDbg的本机内核调试或者双机调试才能找到最终的问题。

2023-04-06 10:52:18

一次 .NET 医院门诊软件 卡死分析
去掉了意外的speech.SpeakAsyncCancelAll();​语句就搞定了,内部深层逻辑也没有再探究了,大概率就是意外的queueIn为0,让waveOutReset​和waveOutClose方法没有匹配出现,造成了卡死现象。

2023-05-15 11:15:50

.NET门诊语句
一次 .NET 药品仓储管理系统 卡死分析
既然朋友说api有request无response,那怎么去验证朋友的话对不对呢我们都知道.NET用HttpContext来表示一个请求,言外之意就是可以去抓HttpContext下的时长属性,Netext中有一个!whttp命令可以帮助我们。

2022-01-17 21:28:36

管理系统.NET
一次 .NET账本软件 非托管泄露分析
在C所处的Windows进程中,其实有很多的堆,比如:crt堆,ntheap堆,gc堆,clr私有堆,堆外(VirtualAlloc),调试没有标准答案,不断的假设,试探,摸着石头过河,言外之意就是这个堆没问题,不代表其他堆也没有问题,这样想思路就比较顺畅了,我们可以看看其他的堆,比如这里的CLR私有堆,使用!eeheaploader观察。

2023-10-07 13:28:53

.NET软件账本
一次 .NET 资讯论坛 CPU爆高分析
虽然dump中的问题千奇百怪,但如果要汇成大类,还是有一些规律可循的,比如:gc频繁触发,大量锁等等,详细汇总可以观摩我的星球,好了,既然分析不下去,那就上windbg。

2021-10-27 07:30:32

.NETCPU论坛
一次 .NET 拍摄监控软件的卡死分析
可能有些朋友有疑问,为什么scvncctrl后面的偏移值那么大,这是因为scvncctrl没有提供公有和私有符号,所以无法对应函数名,windbg只能以module为参考点设置偏移,这对dump分析产生了很大的阻碍!

2023-09-27 07:23:10

.NET监控软件
一次 .NET 工控视觉软件 非托管泄漏分析
前段时间有位朋友找到我,说他的程序出现了非托管泄漏,某一块的操作会导致非托管内存上涨的很快,让我帮忙逆向看下是哪里的操作没有释放资源?既然找到我,那就上WinDbg分析吧。

2022-10-09 10:47:37

NET视觉软件
一次 .NET 风控管理系统内存泄漏分析
从源码逻辑看,我猜测朋友将GetConfig方法标记成static后就以为是单例化了,再次调用不会重复newAppConfig(settingfile),所以问题就出在这里。

2021-11-02 07:54:41

内存.NET 系统
一次 Windows10 内存压缩 崩溃分析
在给各位朋友免费分析.NET程序各种故障的同时,往往也会收到各种其他类型的dump,比如:Windows崩溃,C++崩溃,Mono崩溃,真的是啥都有,由于基础知识的相对缺乏,分析起来并不是那么的顺利,今天就聊一个Windows崩溃的内核dump吧,这个dump是前几天有位朋友给到我的,让我帮忙看一下,有了dump之后上windbg分析。

2023-04-26 12:48:58

.NET程序类型
一次 .NET 电商定向爬虫的内存碎片化分析
本次内存碎片化的主要原因在于Serilog对接Loki的过程中产生的395w的queue积压所致,但我也只能分析到这里了,至于为什么有积压,这个还得朋友进一步调试分析,我相信这个问题很快就能得到解决。

2021-10-09 10:24:08

NET爬虫内存
一次 .NET车零件MES系统登录异常分析
在没有项目源代码和日志的情况下,最好的方式就是抓dump,一样可以找出问题所在,让朋友在程序登录卡死的时候抓了一个dump,接下来看下是不是对方工程师所说的网络问题。

2023-05-08 08:25:52

一次 .NET 工厂无人车调度系统 线程爆高分析
从卦中可以看到大概有12w的积压。上面就是我的完整分析思路,最后就是告诉朋友最好的办法就是去掉多余累赘的SemaphoreSlim​,直接用同步的方式执行Interlocked.Increment(refserial)即可,简单粗暴。

2023-11-01 10:46:12

.NET线程同步
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服