u010607621的博客

用volatile避免优化触发的崩溃隐患

新进程无画面是因为0号线程被mutex（DictManager_GlobalLocker）卡住。输入法SOGOUPY用到的mutex（DictManager_GlobalLocker）无法释放是新进程卡住的直接原因。无法释放是因为本该由进程Imclient里线程fffffa80c895c950释放，但是它也被CriticalSection=7b0138卡住无法释放。cs=7b0138本该由Imclient里线程574来释放，但是它出了异常，异常代码的执行中也进入Wait了。

@TOC1 故障现象win7 64 os下，360浏览器不定期出现卡死。2 dmp分析使用任务管理器给360se进程下dump。链接: https://pan.baidu.com/s/1Hd-T0T6WEcufjkFKDA6MHg?pwd=z4u5 提取码: z4u5。windbg打开之，提示For analysis of this file, run !analyze -vwow64win!NtUserMessageCall+0xa:00000000`749bfdaa c3

1 故障现象Windows里的his客户端，登录后，打开患者的影像照片，就很容易his卡死。只得将his强杀再开。卡死频率大约每3~6次就会出现1次。2 初步分析2.1 检查his安装正确否通过beyondcompare做文件夹比较，可以认为his安装正确。2.2 死循环还是卡死卡死时用procexp查看该进程的cpu消耗以及各个线程的cpu消耗。发现都接近0。可以认为当时，这个进程里的每个线程都是陷入内核不返回，而不是某些线程处于死循环中。遂对该进程创建dmp。3 深入分析3.1 进程d

故障现象win7x64，装了蓝山办公，再卸载之，就出现了文件扩展名关联打开方式时会崩溃。dmp分析捕获进程崩溃dmp，可知崩溃的进程为rundll32.exe，崩溃时的栈如下：00000000`000eec00 000007fe`fce9b35a : 00000000`000706e4 00000000`00310ea8 00000000`00000111 00000000`00000000 : ntdll!RtlQueryInformationAcl+0x900000000`000eec30

volatility2.6.1需要Crypto和distorm3。实际上，即使没有这两样，一样能将内存dump转为windbg的dmp。不过还是来研究一下python的import功能。Crypto比较坑，pip install pycrypto即可。不是install crypto。distorm3最新版时3.5.1，py3下，直接pip install可以装。不过volatility用的时py2，在py2下pip install distorm3的时候报了一堆错随将distorm3的源码包t

目录故障现象初步怀疑双机调试dmp分析故障现象Win7x64系统，多见于刚展开Windows桌面。鼠标一直转圈。Windows内新建进程没反应，但是可浏览文件夹，ctrl+alt+del可呼出winlogon桌面。但是任务管理器点击没反应，win+r可键入notepad，cmd等，但是均无反应。直到5-15分钟后自然恢复。难以复现，但每天总有出现。初步怀疑故障时触发ScrollLock蓝屏，分析dmp，发现许多新进程的头号线程都卡在nt!KiStartUserThread。THREAD ffff

1. 介绍1.1. 相关网站微软网站社区网站调试分享1.2. 下载对于Win10，推荐使用微软商店下载windbg preview版本。其它的os，可以下载windows sdk，在安装选项中选择windbg。preview版本皆可调试32，64位进程和内核。传统版本分为32和64两个版本，但优势在小巧便携。1.3. 符号配置微软的动态库，exe等，微软一般会公开pdb文件的下载，windbg经过配置后，会自动下载，从而利于解析程序的数据结构。简易的方法是配置环境变量_NT_SYMBOL

1. 从52pojie上下载了ida6.8。2. 打开idaq64.exe，不知道为什么，我的win7上可以选择windbg调试器，win10上却不行。3. windbg x86版安装在C:\Program Files (x86)\Windows Kits\10\Debuggers\x864. 在ida目录的cfg/ida.cfg里修改DBGTOOLS = "C:\\Program