珠峰是面照妖镜

轰轰烈烈的2013年珠峰登山季结束了,其结果也是同样的烈烈轰轰。今年的登山季太不平静,南坡有80岁日本老人三浦雄一郎登顶的好消息,北坡更有高海拔救援身价3亿的夏老板的壮举,只是因着救援消耗太大的关系,B组10人与近在咫尺的登顶擦肩而过,朋友老杨就是B组10人之一!

当前的珠峰已成为中国房产商们的后花园,时髦大亨们追逐炫耀的新战场。从对最高的渴望,上升至国家荣誉,再沦落至个人得失之地,前后刚刚60年。话说回来,从1949年到现在也刚过去60多年。

十一郎的《登山就像谈恋爱,珠峰是面照妖镜》有更多关于珠峰攀登的故事,不妨看看。版权原因,不作转载。

Continue reading » · Rating: · Written on: 05-30-13 · No Comments »

由Hook引起的XP Explorer崩溃

有用户反应XP系统上一拖动桌面上的图标即会导致桌面重启,验证后,证实和360安全的升级有关,360安全9.0及后续版本和我们的软件有冲突。

360安全本身太激进,作为一款安全及防毒软件来说,激进并不是什么好事,这也是我不喜欢用360安全软件的原因之一。但是在事情未查出原因之前,不能随便怪罪360,毕竟在二者不共存时,均不会有桌面崩溃的事情发生。

先通过排除法,发现冲突发生在Hook上,而且是在特定的响应拖拽事件的API的Hook上:

    ole32.dll: DoDragDrop

问题定位之后照理应该很直接了,但分析新的DoDragDrop的实现及相关代码,并没有发现明显问题。

我们的代码在一个DLL文件中,并根据需要注入被Hook的进程,此案中便是Explorer.exe。调试起来稍有些周折,但也不算太麻烦。对此类的应用层调试问题,用VS (Visual Studio)远程调试最方便。远程attach到目标XP系统上的explorer.exe进程,然后触发崩溃事件,VS直接响应,显示问题出在一条很正常的压栈(push)操作上,再查看堆栈指针,果然已经耗尽,esp所指内存为非法地址(空页)。

初步揣测可能是堆栈不够所致,explorer.exe默认的size of stack reserve是0x400000,即4M字节。为了验证是不是堆栈的问题,直接将修改explorer.exe的PE文件头,将reserved stack size改成了64M(0x4000000)。

再测试时,explorer.exe在拖动桌面图标时还是会崩溃,只是会等上一会,不像之前一拖动便立即崩溃,看来问题并不是堆叠不够所致。

通过VS中断,发现Call stack中全是iNetSafe.dll (360安全的一个模块),由此断定出现了嵌套调用,死循环。

后面继续跟踪代码的调用过程发现了这样一个有趣的事,先将相关代码列出来:

ole32.dll地址空间 【774E0000 - 7761E000】:
_DoDragDrop@16:
775D0DC0 E9 0B DA 13 EE       jmp         6570E7D0
775D0DC5 83 EC 4C                sub         esp,4Ch
。。。。。。

iNetSafe.dll的地址空间 【65700000 - 65737000】:
6570E7D0 E9 AB 3A 1E 9B       jmp         CDragDropObj::NewDoDrapDrop (8F2280h) 
6570E7D5 57                           push        edi 
。。。。。。
6570E7F5 8B 4C 24 18          mov         ecx,dword ptr [esp+18h] 
6570E7F9 8B 54 24 14          mov         edx,dword ptr [esp+14h] 
6570E7FD 51                         push        ecx 
6570E7FE 8B 4C 24 14          mov         ecx,dword ptr [esp+14h] 
6570E802 52                   push        edx 
6570E803 51                   push        ecx 
6570E804 56                   push        esi 
6570E805 FF D0                call        eax                     [eax: 6FFE00A0]
6570E807 5F                   pop         edi 
6570E808 5E                   pop         esi 
6570E809 C2 10 00             ret         10h 
6570E80C 8B C7                mov         eax,edi 
6570E80E 5F                   pop         edi 
6570E80F 5E                   pop         esi 
6570E810 C2 10 00             ret         10h

360 iNetSafe.dll 所维护的Hook地址信息:
6FFE00A0 E9 DB 21 91 90       jmp         CDragDropObj::NewDoDrapDrop (8F2280h) 
6FFE00A5 E9 1B 0D 5F 07       jmp         _DoDragDrop@16+5 (775D0DC5h) 

MyHook32.dll地址空间 【008F0000 - 00C5F000】:
CDragDropObj::NewDoDrapDrop:
008F2280 55                   push        ebp 
008F2281 8B EC                mov         ebp,esp 
008F2283 8B 0D 38 70 C1 00    mov         ecx,dword ptr […::m_OldDoDragDrop 0C17038h] 
                                                                  0C17038h:0EC9002C  ECX = 0EC9002C 
008F2289 33 C0                xor         eax,eax 
008F228B 85 C9                test        ecx,ecx 
008F228D 74 03                je          CDragDropObj::NewDoDrapDrop+12h (8F2292h) 
008F228F 5D                   pop         ebp 
008F2290 FF E1                jmp         ecx                              [ecx = 0EC9002C]
008F2292 5D                   pop         ebp 
008F2293 C2 10 00             ret         10h 

MyHook32.dll: 原地址及代码
0EC9002C 56                         push        esi 
0EC9002D 8B 74 24 08          mov         esi,dword ptr [esp+8] 
0EC90031 E9 9F E7 A7 56      jmp         6570E7D5 

流程分析:

当Explorer调用_DoDragDrop()函数时,将跳转到iNetSafe的DoDragDrop实现,地址为6570E7D0。iNetSafe的DoDragDrop函数又被MyHook32 Hook了,所以还要继续跳至地址008F2280。MyHook32执行完还会跳转至被Hook前的_DoDragDrop函数,地址存放于0EC90032处,跳转地址为:6570E7D5,即iNetSafe的DoDragDrop函数入口加上5个字节的偏移。同理,iNetSafe的DoDragDrop函数也要调用它所Hook的原DoDragDrop地址,此地址的跳转指令存放于6FFE00A0处。但奇怪的是,位置6FFE00A0所存放的地址竟指向MyHoo32的
NewDoDrapDrop(即8F2280),所以任何对_DoDragDrop的调用,将会陷入一个嵌套的死循环里再也出不来了,直到堆栈被耗尽。

从上面代码上来看,iNetSafe在前,MyHook32在后,所以iNetSafe于6FFE00A0中所保存的原_DoDragDrop地址不应该是MyHook32的,而应该是ole32的_DoDragDrop才是。

但根据Explorer.exe进程的加载模块表,MyHook32.dll的加载order为40,而iNetSafe则为103,明显是MyHook32.dll先被加载,所以Hook的顺序明显违背上面的分析。

至此,方想到问题可能出在MyHook32的Anti-UnHook检查机制上。MyHook32在一个线程里面会实时检测被Hook的函数入口代码,如果不是MyHook32自己的,则会再次尝试Hook,因为360的Hook,便导致了MyHook32的再Hook,所以结果便导致了嵌套Hook的乌龙。

问题已经明确,并不是360的问题,而是出在我们自己的程序上,实在不应该先入为主的怪罪360,尽管其中还是有不少感情因素。

调试终于结束,剩下的的事情便是思考出一个万全的Anti-UnHook机制了。

下图为Explorer.exe所加载的模块(截屏自VS2010):

HookModules-01HookModules-02HookModules-03

注:有几个DLL的图标上均有红叹号,表示是此DLL被加载到的虚拟地址空间并不是此DLL所指定的地址空间。如MyHook32.dll(此版本为DEBUG版本,故体积及占用的地址范围也比较大)其默认的虚拟地址为10000000 - 1036EFFF,而实际上却被加载至008F0000 - 00C5F000。对于DLL文件的加载及从Vista之后所支持的ASLR(Address Space Layout Randomization),以后有机会再单独介绍。

Continue reading » · Rating: · Written on: 05-29-13 · 1 Comment »

5/19 大觉寺-妙峰山环线

20130519-大觉寺-妙峰山环线

总量程:25.1KM   海拔 上升/下降:2189M/2190M 用时:8.5小时 08:15-16:50

Continue reading » · Rating: · Written on: 05-19-13 · No Comments »

2013阅读暂停

今年以来就没能好好读几本书,外出、出差、工作上的事情一直缠绕于身,下半年估计还会更忙。只得将前半年读过的寥寥几本先罗列出来,以激励后面的时间里能更好的利用空闲来多读些书。

1, Hadoop权威指南2e,Tom While, 周敏奇等译
2, 名侦探的诅咒 东野圭吾,岳远坤译
3, 大数据时代,Viktor Mayer,盛杨燕等译
4, 自由诗篇,林贤治编
5, 80年代读书,向继东编
6, Life of Pi,Yann Martel
7, 箴言,Irving Wallace,王金铃译

Continue reading » · Rating: · Written on: 05-16-13 · No Comments »

5/12 沙河落日

夕阳无限,沙河水红,纵千年万年,景如故,情依旧;水天一色望尽,更眷天涯此刻,晖彩映天幕!行色匆匆且匆匆,时光飞逝便飞去。夕阳下,春风独沐!

沙-P1070657沙-P1070673沙-P1070678沙-P1070680沙-P1070681沙-P1070685沙-P1070689

京城漫天飘舞着的杨絮在车灯的照耀下方显晶莹剔透,犹如洒落人间的仙尘!

沙-P1070694

Continue reading » · Rating: · Written on: 05-13-13 · No Comments »

5/11灵山穿越

5/11独行灵山

总里程:49.5KM 海拔上升/下降:3035M/3062M 用时:13:36:21

从早上8:30走到晚上22:00,继2011年昱岭四尖以来又一次破记录的虐行。

灵-P1070584灵-P1070588灵-P1070589灵-P1070591灵-P1070598灵-P1070602灵-P1070604灵-P1070615灵-P1070619灵-P1070628灵-P1070636灵-P1070641灵-P1070644灵-P1070649灵-P1070632灵-P1070654灵-P1070651

Continue reading » · Rating: · Written on: 05-11-13 · No Comments »