背景
我们基于自定义的RDS实现了远程应用,效果足以以假乱真,让人无法分辨出是本地应用还是远程应用。最近测试给我反馈了一个远程应用的问题,为什么我们的SBC打开任务管理器(TaskMgr)没有托盘?我当时迟疑了下,任务管理器有托盘吗?然后在本地试了下,确实是有。只不过我却很少用到。既然测试都发现了这个问题,那就查呗!
原理介绍
首先,我们的远程应用原理是这样的,在远程服务器上,我们并没有拉起explorer,所以很多功能都需要我们去实现,比如任务栏、托盘这些,我们需要将一些信息传递给客户端,同时又能给应用反馈正确的信息,例如应用调用shAppBarMessage获取任务栏信息,我们需要反馈正确的任务栏信息值,还要一些托盘信息值也是类似的。所以TaskMgr没有任务栏,我们重点需要排查哪些信息我们反馈缺失或者有问题。
问题排查
托盘操作分析对比
首先我用API Monitor来看下托盘的创建、修改、删除消息的情况。但是有个问题,任务管理器一起来托盘就创建了,API Monitor在win10上貌似没有这个功能。我的方式是,使用windbg启动taskMgr,然后在初始断点的时候在把API Monitor给加载上去,如下是我抓的远程应用的托盘调用情况:
从上面我们知道,任务管理器先是连续创建了13个托盘,接着又连续删除了13个托盘,这样一个托盘都没了。
我再看下本地任务管理器调用情况:
跟远程应用的调用前面一致,连续创建了13个托盘(经后面详细分析,其中12个是隐藏的托盘),创建完成后并没有删除,与远程应用表现不一致。
任务管理器托盘流程剖析
有了前面的分析,我就可以打断点分析了,我在远程应用启动任务管理器的时候,给任务管理器加了一个条件断点:bp SHELL32!Shell_NotifyIconW ".if(rcx==2){} .else {gc;}"
在删除托盘的时候断下来,断下来后堆栈如下:
通过堆栈信息,再结合IDA,可以找到相应的任务管理器代码段:
偏移344其实就是WdcTrayIconMonitor::UpdateUninitialize函数
那根据这个表,偏移336就是WdcTrayIconMonitor::UpdateInitialize函数了,根据这一段的逻辑,也就是
WdcTrayIconMonitor::UpdateInitialize返回<0就执行反初始化操作了。
经过一步步单步跟踪,最终发现UpdateInitialize函数中,如下代码失败了:
解决方案
通过上述分析,找到了根本问题所在,就是没了explorer.exe,CLSID_TrayNotify的COM组件并没有实现,任务管理器在查找的时候没有找到,直接进行了反初始化。
我要做的其实也很简单,实现对应的COM接口就OK了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
