wenmo8 发布的文章

Windbg里识别CRT堆

作者: wenmo8
时间: 2023-01-31
分类: 调试
评论

当我们调试时，某些情况下，我们需要专门针对crt堆进行分析，但，我们知道进程里可能有多个堆，比如

你说哪个是crt堆？

如果你跟踪过crt的代码，那么这个问题就好办了，crt堆是通过msvcrt!_heap_init来分配初始化的，在_heap_init里把crt堆的句柄给了变量_crtheap，所以我们只要看这个变量的值即可，如下

即Address=0xfe0000的堆就是该进程的crt堆。

Windbg命令系列---.printf

作者: wenmo8
时间: 2023-01-31
分类: 调试
评论

.printf的行为跟C语言的printf函数类似。

语法

.printf [/D] [Option] "FormatString" [, Argument , ...]

关于异常STATUS_VERIFIER_STOP(0xC0000421)

作者: wenmo8
时间: 2023-01-31
分类: 调试
评论

简介

STATUS_VERIFIER_STOP异常表示因Application verifier(应用程序验证器) 在当前进程找到一个错误而停止.。值为0xC0000421。其定义如下：

//
// MessageId: STATUS_VERIFIER_STOP
//
// MessageText:
//
// Application verifier has found an error in the current process.
//
#define STATUS_VERIFIER_STOP ((NTSTATUS)0xC0000421L)

说明

此异常一定要使用Application verifier或Gflags.exe等工具对特定程序做相关的设置才会产生。

异常结构

ExceptionAddress: 6f59df82 (verifier!VerifierStopMessage+0x00000052)
   ExceptionCode: c0000421 (Verifier stop)
ExceptionFlags: 00000000
NumberParameters: 6
   Parameter[0]: 32725641//可能是个魔数，有知道的同行指正。
   Parameter[1]: 0000000f//StopCode,0xf---表示堆块后缀填充被破坏
   Parameter[2]: 00d01000//Heap句柄
   Parameter[3]: b2bfab10//用户内存开始地址
   Parameter[4]: 000001c8//用户内存size
   Parameter[5]: b2bfacd8//用户内存结束地址
当然上面的参数个数和具体内容是由StopCode决定的，不唯一。具体的后面有时间的话会有相关文章

关于异常STATUS_NO_SUCH_DEVICE(0xC000000E)

作者: wenmo8
时间: 2023-01-31
分类: 调试
评论

简介

STATUS_NO_SUCH_DEVICE，指定的驱动器不存在，值为0xC000000E，其定义如下：

//
// MessageId: STATUS_NO_SUCH_DEVICE
//
// MessageText:
//
// A device which does not exist was specified.
//
#define STATUS_NO_SUCH_DEVICE ((NTSTATUS)0xC000000EL)

说明

STATUS_NO_SUCH_DEVICE通常表示计算机中的启动配置数据已损坏，或者热插拔的设备出现了问题。两种情况：一是未连接或无法访问所需设备；二是无法加载应用程序或操作系统，原因是所需文件丢失或包含错误。

Windbg里识别CRT堆(拾遗)

作者: wenmo8
时间: 2023-01-31
分类: 调试
评论

在《Windbg里识别CRT堆》一文里，介绍了可以通过msvcrXX.dll!_crtheap来获取crt堆的句柄。但这种方法只针对VS2015前的crt版本有效。

这是因为从 Visual Studio .NET 到 Visual Studio 2013，C++ 编译器和工具的每个主版本都包含一个新的独立版本的 Microsoft C 运行 (CRT) 库。 CRT 的这些独立版本彼此独立，并在不同程度上彼此不兼容。例如，Visual Studio 2012 使用的 CRT 库是第 11 版，名为 msvcr110.dll，而 Visual Studio 2013 使用的 CRT 是第 12 版，名为 msvcr120.dll。从 Visual Studio 2015 开始，不再是这样。 Visual Studio 2015 及更高版本的 Visual Studio 都使用一个通用 CRT(Universal CRT，UCRT)，是 Microsoft Windows 操作系统组件。

当vs2015还在CTP阶段时，微软的设想是将VC运行时库拆分成三部分：

vcruntime140.dll 包含运行期需要处理的功能，如：进程启动、异常处理、以及耦合到相关编译器的功能。
appcrt140.dll包含所有平台上都可用的所有功能，且以后保持这部分CRT的向后兼容性。包括：堆、数学库、stdio库、locale库、大多数字符串操作函数、时间库和一些其他功能等。
desktopcrt140.dll包含所有只能由桌面应用程序使用的功能，且以后保持这部分CRT的向后兼容性。包括：处理多字节字符串、exec和spawn进程管理函数、direct-to-console I/O函数的功能等等。

在最终发布正式版的时候，微软将appcrt140.dll和desktopcrt140.dll合并为一个不带版本号的程序库：ucrtbase.dll。它对应的Debug版本的命名是ucrtbased.dll。这个后来被正式命名为“The Universal CRT”。

那么ucrtbase/ucrtbased自然是我们关注的焦点，crt堆句柄自然就在这里面，有一个导出的符号__acrt_heap，就是它

看debug版本，如下：

看Release版本，如下：

来了个这个，难道Release版没有这个符号，输入x ucrtbase!*看看

输入

dd 76ff12dc