C#非托管泄漏中HEAP_ENTRY的Size對(duì)不上解析

更新時(shí)間：2022年09月21日 12:08:58 作者：一線碼農(nóng)

這篇文章主要為大家介紹了C#非托管泄漏中HEAP_ENTRY的Size對(duì)不上解析，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪

一：背景

1. 講故事

前段時(shí)間有位朋友在分析他的非托管泄漏時(shí)，發(fā)現(xiàn)NT堆的_HEAP_ENTRY 的 Size 和 !heap 命令中的 Size 對(duì)不上，來(lái)咨詢是怎么回事？比如下面這段輸出：

0:000> !heap 0000000000550000 -a
Index   Address  Name      Debugging options enabled
  1:   00550000 
    Heap entries for Segment00 in Heap 0000000000550000
                 address: psize . size  flags   state (requested size)
        0000000000550000: 00000 . 00740 [101] - busy (73f)
        0000000000550740: 00740 . 00110 [101] - busy (108)
0:000> dt nt!_HEAP_ENTRY 0000000000550740
ntdll!_HEAP_ENTRY
   +0x000 UnpackedEntry    : _HEAP_UNPACKED_ENTRY
   +0x000 PreviousBlockPrivateData : (null) 
   +0x008 Size             : 0xa6a7
   +0x00a Flags            : 0x33 '3'
   +0x00b SmallTagIndex    : 0x75 'u'
   ...

從輸出中可以看到，用 !heap 命令的顯示 0000000000550740 的 size=0x00110 ，而 dt 顯示的 size=0xa6a7，那為什么這兩個(gè) size 不一樣呢？毫無(wú)疑問(wèn) !heap 命令中顯示的 0x00110 是對(duì)的，而 0xa6a7 是錯(cuò)的，那為什么會(huì)錯(cuò)呢？很顯然 Windows 團(tuán)隊(duì)并不想讓你能輕松的從 ntheap 上把當(dāng)前的 entry 給挖出來(lái)，所以給了你各種假數(shù)據(jù)，言外之意就是 size 已經(jīng)編碼了。

原因給大家解釋清楚了，那我能不能對(duì)抗一下，硬從NtHeap上將正確的size給推導(dǎo)出來(lái)呢？辦法肯定是有辦法的，這篇我們就試著聊一聊。

二：如何正確推導(dǎo)

1. 原理是什么？

其實(shí)原理很簡(jiǎn)單，_HEAP_ENTRY 中的 Size 已經(jīng)和 _HEAP 下的 Encoding 做了異或處理。

0:004> dt nt!_HEAP?
ntdll!_HEAP
? ?...
? ?+0x07c EncodeFlagMask ? : Uint4B
? ?+0x080 Encoding ? ? ? ? : _HEAP_ENTRY
? ?...

那如何驗(yàn)證這句話是否正確呢？接下來(lái)啟動(dòng) WinDbg 來(lái)驗(yàn)證下，為了方便說(shuō)明，先上一段測(cè)試代碼。

int main()
{
	for (size_t i = 0; i < 10000; i++)
	{
		int* ptr =(int*) malloc(sizeof(int) * 1000);
		printf("i=%d \n",i+1);
		Sleep(1);
	}
	getchar();
}

既然代碼中會(huì)用到 Encoding 字段來(lái)編解碼size，那我是不是可以用 ba 在這個(gè)內(nèi)存地址中下一個(gè)硬件條件，如果命中了，就可以通過(guò)匯編代碼觀察編解碼邏輯，對(duì)吧？有了思路就可以開(kāi)干了。

2. 通過(guò)匯編觀察編解碼邏輯

因?yàn)?malloc 默認(rèn)是分配在進(jìn)程堆上，所以用 !heap -s 找到進(jìn)程堆句柄進(jìn)而獲取 Encoding 的內(nèi)存地址。

0:004> !heap -s
************************************************************************************************************************
                                              NT HEAP STATS BELOW
************************************************************************************************************************
LFH Key                   : 0x64ffdd9683678f7e
Termination on corruption : ENABLED
          Heap     Flags   Reserv  Commit  Virt   Free  List   UCR  Virt  Lock  Fast 
                            (k)     (k)    (k)     (k) length      blocks cont. heap 
-------------------------------------------------------------------------------------
00000000004a0000 00000002    2432   1544   2040     50    12     2    0      0   LFH
0000000000010000 00008000      64      4     64      2     1     1    0      0      
-------------------------------------------------------------------------------------
0:004> dt nt!_HEAP 00000000004a0000
ntdll!_HEAP
   +0x000 Segment          : _HEAP_SEGMENT
   ...
   +0x07c EncodeFlagMask   : 0x100000
   +0x080 Encoding         : _HEAP_ENTRY
   ...
0:004> dx -r1 (*((ntdll!_HEAP_ENTRY *)0x4a0080))
(*((ntdll!_HEAP_ENTRY *)0x4a0080))                 [Type: _HEAP_ENTRY]
    [+0x000] UnpackedEntry    [Type: _HEAP_UNPACKED_ENTRY]
    [+0x000] PreviousBlockPrivateData : 0x0 [Type: void *]
    [+0x008] Size             : 0x8d69 [Type: unsigned short]
    [+0x00a] Flags            : 0xfd [Type: unsigned char]
    ...
0:004> dp 00000000004a0000+0x80 L4
00000000`004a0080  00000000`00000000 000076a1`cefd8d69
00000000`004a0090  0000ff00`00000000 00000000`eeffeeff

可以看到 Encoding 中的 Size 偏移是 +0x008，所以我們硬件條件斷點(diǎn)的偏移值是 0x88 ，命令為 ba r4 00000000004a0000+0x88 ，設(shè)置好之后就可以繼續(xù) go 啦。

從圖中可以看到在 ntdll!RtlpAllocateHeap+0x55c 方法處成功命中，從匯編中可以看到。

eax: 這是 Encoding ，即我們硬件斷點(diǎn)。
edi: 某個(gè) heap_entry 的 size 掩碼值。

最后就是做一個(gè) xor 異或操作，也就是正確的 size 值。

0:000> r eax,edi
eax=cefd8d69 edi=18fd8ab8
0:000> ? eax ^ edi
Evaluate expression: 3590326225 = 00000000`d60007d1
0:000> ? 07d1 * 0x10
Evaluate expression: 32016 = 00000000`00007d10

可以看到最后的size=7d10, 這里為什么乘 0x10，過(guò)一會(huì)再說(shuō)，接下來(lái)我們找一下 edi 所屬的堆塊。

3. 尋找 edi 所屬的堆塊

要想找到所屬堆塊，可以用內(nèi)存搜索的方式，再用 !heap -x 觀察即可。

0:000> s-d 0 L?0xffffffffffffffff 18fd8ab8
00000000`005922b8  18fd8ab8 000056a0 004a0150 00000000  .....V..P.J.....
0:000> !heap -x 00000000`005922b8 
Entry             User              Heap              Segment               Size  PrevSize  Unused    Flags
-------------------------------------------------------------------------------------------------------------
00000000005922b0  00000000005922c0  00000000004a0000  00000000004a0000      7d10     20010         0  free 
0:000> dt nt!_HEAP_ENTRY 00000000005922c0
ntdll!_HEAP_ENTRY
   +0x008 Size             : 0x4020
   +0x00a Flags            : 0xa3 ''
   ...

有了這些信息就可以純手工推導(dǎo)了。

獲取 Encoding 值。

0:000> dp 00000000004a0000+0x88 L4
00000000`004a0088  000076a1`cefd8d69 0000ff00`00000000
00000000`004a0098  00000000`eeffeeff 00000000`00400000

獲取 size 值。

0:000> dp 00000000005922b0+0x8 L4
00000000`005922b8  000056a0`18fd8ab8 00000000`004a0150
00000000`005922c8  00000000`00a34020 00000000`00000000

異或 size 和 Encoding

0:000> ? 000076a1`cefd8d69 ^  000056a0`18fd8ab8
Evaluate expression: 35192257382353 = 00002001`d60007d1
0:000> ? 07d1 * 0x10
Evaluate expression: 32016 = 00000000`00007d10

怎么樣，最后的size 也是size=7d10, 這和剛才匯編代碼中計(jì)算的是一致的，這里要乘 0x10 是因?yàn)?entry 的粒度按 16byte 計(jì)算的，可以用 !heap -h 00000000004a0000 ;觀察下方的 Granularity 字段即可。

0:000> !heap -h 00000000004a0000
Index   Address  Name      Debugging options enabled
  1:   004a0000 
    Segment at 00000000004a0000 to 000000000059f000 (000fa000 bytes committed)
    Segment at 0000000000970000 to 0000000000a6f000 (000c9000 bytes committed)
    Segment at 0000000000a70000 to 0000000000c6f000 (00087000 bytes committed)
    Flags:                00000002
    ForceFlags:           00000000
    Granularity:          16 bytes