如何洞察 C# 程序的 GDI 句柄泄露

news2024/11/17 3:23:23

一:背景

1. 讲故事

前段时间有位朋友找到我,说他的程序界面操作起来很慢并且卡顿等一些不正常现象,从任务管理器看了下 GDI句柄 已经到 1w 了,一时也找不出什么代码中哪里有问题,让我帮忙看下,其实这种问题看内存dump作用不是很大,主要是写脚本很麻烦,这一篇我们就来简单聊聊如何洞察此类问题。

二:如何洞察泄露

1. 一个测试小案例

在 windows 上gdi的句柄类型有很多,比如:penfontbitmapdevice 等,具体可以网上搜一下,这里我就造一个 bitmap 的句柄泄露,参考代码如下:


        private void button1_Click(object sender, EventArgs e)
        {
            Task.Factory.StartNew(() =>
            {
                Bitmap bmp = new Bitmap(100, 100);

                for (int i = 0; i < 10000; i++)
                {
                    bmp.GetHbitmap();
                    Thread.Sleep(100);
                }
            });
        }

代码非常简单,大概 100ms 泄露一个 bitmap 句柄,接下来把程序跑起来点击 Button_Click 按钮,然后上瑞士军刀 WinDbg 附加进程。

2. 如何观察GDI泄露

观察 GDI句柄 是否异常,最简单的方法就是看任务管理器中的 GDI对象 一列,截图如下:

但这里有一个问题,你只知道有一个总数,并不知道是哪种句柄类型的泄露,比如是:bitmap? font ?device? 对吧。

那怎么办呢?这就需要考验一点基础知识了,你要知道 GDI 的句柄表(GDI Shared Handle Table)是维护在用户态的虚拟地址上,区别于维护在内核中的 ObjectTable,可以用 !address 验证下。

0:011> !address 

        BaseAddress      EndAddress+1        RegionSize     Type       State                 Protect             Usage
--------------------------------------------------------------------------------------------------------------------------
+      294`d1500000      294`d1681000        0`00181000 MEM_MAPPED  MEM_COMMIT  PAGE_READONLY                      Other      [GDI Shared Handle Table]

0:011> !address 294`d1500000

Usage:                  Other
Base Address:           00000294`d1500000
End Address:            00000294`d1681000
Region Size:            00000000`00181000 (   1.504 MB)
State:                  00001000          MEM_COMMIT
Protect:                00000002          PAGE_READONLY
Type:                   00040000          MEM_MAPPED
Allocation Base:        00000294`d1500000
Allocation Protect:     00000002          PAGE_READONLY
Additional info:        GDI Shared Handle Table


Content source: 1 (target), length: 181000

在这 1.5M虚拟地址段中就雪藏了我们要找的各句柄的统计信息,但要挖它需要写脚本,再配合 GDICELL 结构体,分组其中的 wType 句柄类型。


typedef struct {
  PVOID64 pKernelAddress; // 0x00
  USHORT wProcessId;      // 0x08
  USHORT wCount;          // 0x0a
  USHORT wUpper;          // 0x0c
  USHORT wType;           // 0x0e
  PVOID64 pUserAddress;   // 0x10
} GDICell;                // sizeof = 0x18

虽然可以手工分组出来,但这种问题你肯定不是第一个遇到,早有人写了一个工具来解决这类问题,它就是 GDIView.exe,大家可以网上搜一下。

打开 GDIView 之后,可以很清楚的看到 WindowsFormsApp1 程序中各个句柄的统计信息,并且 type=Bitmap 是非常可疑的,截图如下:

知道了是 Bitmap 的句柄泄露,定位的范围一下子就小了很多,长舒一口气。

3. 如何寻找 Bitmap 的底层函数

熟悉 Windows 的朋友应该都知道 GDI 的逻辑是封装在底层的 GDI32.dll 中,模块信息如下:


0:012> lmvm gdi32
Browse full module list
start             end                 module name
00007ff9`b0c80000 00007ff9`b0cab000   GDI32      (deferred)             
    Image path: C:\windows\System32\GDI32.dll
    Image name: GDI32.dll
    Browse all global symbols  functions  data
    Image was built with /Brepro flag.
    Timestamp:        3EE1D71F (This is a reproducible build file hash, not a timestamp)
    CheckSum:         0002B228
    ImageSize:        0002B000
    File version:     10.0.19041.2130
    Product version:  10.0.19041.2130
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        2.0 Dll
    File date:        00000000.00000000
    Translations:     0409.04b0
    Information from resource tables:
        CompanyName:      Microsoft Corporation
        ProductName:      Microsoft® Windows® Operating System
        InternalName:     gdi32
        OriginalFilename: gdi32
        ProductVersion:   10.0.19041.2130
        FileVersion:      10.0.19041.2130 (WinBuild.160101.0800)
        FileDescription:  GDI Client DLL
        LegalCopyright:   © Microsoft Corporation. All rights reserved.

言外之意就是可以在 GDI32 模块中下方法断点,这时候问题就来了,到底搁哪个方法下呢?这个只能求助 MSDN 了,功夫不负有心人,找到了一篇很老的文章:https://learn.microsoft.com/en-us/archive/msdn-magazine/2003/january/detect-and-plug-gdi-leaks-with-two-powerful-tools-for-windows-xp

从图中看记载的非常详细,但我亲自观察下来有些方法找不到,所以只能做个参考吧,不过在 Windbg 中提供了一个非常好的 bm 命令,它可以对方法名进行 模糊断点,比如 bm gdi32!*Bitmap* 就可以一口气下 45 个断点。


0:012> bm gdi32!*Bitmap* "? @$tid; k; gc"
  0: 00007ff9`b0c86f7c @!"GDI32!IsCreateBitmapPresent"
  1: 00007ff9`b0c87216 @!"GDI32!_imp_load_CreateDIBitmap"
  2: 00007ff9`b0c8906c @!"GDI32!_imp_load_DwmCreatedBitmapRemotingOutput"
  3: 00007ff9`b0c86460 @!"GDI32!NtGdiGetBitmapDpiScaleValue"
  4: 00007ff9`b0c8850c @!"GDI32!_imp_load_ClearBitmapAttributes"
  5: 00007ff9`b0c88745 @!"GDI32!_imp_load_CreateDiscardableBitmap"
  6: 00007ff9`b0c84470 @!"GDI32!CreateBitmapStub"
 ...
 42: 00007ff9`b0c8713e @!"GDI32!_imp_load_GetBitmapBits"
 43: 00007ff9`b0c89580 @!"GDI32!GdiConvertBitmapV5"
 44: 00007ff9`b0c89080 @!"GDI32!DwmCreatedBitmapRemotingOutput"
 45: 00007ff9`b0c8aaac @!"GDI32!_imp_load_SetBitmapDimensionEx"

0:007> .bpcmds
bu0 @!"GDI32!IsCreateCompatibleBitmapPresent" "? @$tid; k; gc";
bu1 @!"GDI32!_imp_load_CreateDIBitmap" "? @$tid; k; gc";
bu2 @!"GDI32!_imp_load_DwmCreatedBitmapRemotingOutput" "? @$tid; k; gc";
bu3 @!"GDI32!NtGdiGetBitmapDpiScaleValue" "? @$tid; k; gc";
bu4 @!"GDI32!_imp_load_ClearBitmapAttributes" "? @$tid; k; gc";
bu5 @!"GDI32!_imp_load_CreateDiscardableBitmap" "? @$tid; k; gc";
...

天网恢恢,疏而不漏,肯定会命中其中一个的,接下来继续 g 让程序跑起来,你会看到有大量的方法被命中,并且仔细观察会有一个用户态函数 <button1_Click>b__1_0,截图如下:

此时这个托管函数就是重点怀疑对象,也就很轻松的找到问题之所在,有些朋友可能要问,这样重复的信息是不是会很多,那当然了,大家可以根据输出信息做下一步的洞察,比如上面的 gdiplus!CopyOnWriteBitmap::CreateHBITMAP 函数会特别多,这时候可以重新 bp 来缩小范围,对吧!参考代码如下:


0:010> bc *
0:010> bp gdiplus!CopyOnWriteBitmap::CreateHBITMAP "? @$tid; k; gc"

0:010> g
Evaluate expression: 15768 = 00000000`00003d98
 # Child-SP          RetAddr               Call Site
00 000000bb`041febd8 00007ff9`9df0a21f     gdiplus!CopyOnWriteBitmap::CreateHBITMAP
01 000000bb`041febe0 00007ff9`9df0a19a     gdiplus!GpBitmap::CreateHBITMAP+0x3b
02 000000bb`041fec10 00007ff9`72442c61     gdiplus!GdipCreateHBITMAPFromBitmap+0xaa
03 000000bb`041fec50 00007ff9`72439471     System_Drawing_ni+0x72c61
04 000000bb`041fed10 00007ff9`7243940a     System_Drawing_ni!System.Drawing.Bitmap.GetHbitmap+0x51
05 000000bb`041fed70 00007ff9`36d02a75     System_Drawing_ni!System.Drawing.Bitmap.GetHbitmap+0x7a
06 000000bb`041fede0 00007ff9`8d597a47     WindowsFormsApp1!WindowsFormsApp1.Form1.<>c.<button1_Click>b__1_0+0x75
...

三:总结

说实话,找到程序的 GDI句柄泄露 的前因后果难度系数还是蛮高的,在没有系统科学的工具和基础知识之前,花费几天的时间排查这个问题是很正常的,相信这篇文章给后来人少踩坑吧。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/637079.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

品牌电商数据分析维度有哪些

品牌在线上的产品数据每时每刻都会发生变化&#xff0c;店铺会上架下架链接&#xff0c;也会对链接进行调整&#xff0c;包含价格、标题、库存、销量等&#xff0c;那这些数据又该如何为品牌所用&#xff0c;为品牌提供更深层的帮助&#xff0c;这就需要对电商数据进行准确分析…

莫顿曲线映射 二维到一维的变换 MD(莫顿)码 正向变换 线性四叉树

线性四叉树 &#xff08;Linear Quadtree&#xff09;是一种基于莫顿码&#xff08;Morton Code&#xff09;的数据结构&#xff0c;用于存储和处理二维空间中的信息。 莫顿码是一种将二维坐标映射为一维编码的方法&#xff0c;它将一个二维点的坐标表示为一个整数&#xff0…

Linux常用命令——gpasswd命令

在线Linux命令查询工具 gpasswd Linux下工作组文件的管理工具 补充说明 gpasswd命令是Linux下工作组文件/etc/group和/etc/gshadow管理工具。 语法 gpasswd(选项)(参数)选项 -a&#xff1a;添加用户到组&#xff1b; -d&#xff1a;从组删除用户&#xff1b; -A&#xf…

STC8/15单片机复位功能介绍

STC8/15单片机复位功能介绍 📑复位简介 🌼STC15系列 STC15系列单片机有7种复位方式:外部RST 引脚复位,软件复位,掉电复位/上电复位(并可选择增加额外的复位延时180mS,也叫MAX810专用复位电路,其实就是在上电复位后增加一个180mS复位延时),内部 低压检测复位,MAX810专…

晶体热学性能研究的方法:第一性原理声子谱计算

晶体热学性能研究的方法&#xff1a;第一性原理声子谱计算 第一性原理声子谱计算是一种基于量子力学的计算方法&#xff0c;用于研究物质中声子的性质和行为。声子是晶体中的量子态&#xff0c;它描述了晶体中原子振动的性质。声子谱计算可以提供关于晶体结构、热力学性质、相变…

分享一些宝藏软件给你

如果你正在寻找一些好玩又有用的软件&#xff0c;那么这篇文章就是为你准备的。下面&#xff0c;我将为大家介绍几款免费的宝藏软件&#xff0c;满足你对于各种软件的需求。 分享一&#xff1a;虚假截图助手 虚假截图助手是一个可以为多个平台伪造屏幕截图的网站。注意&#…

FQL40N50-ASEMI代理安森美原装MOS管FQL40N50

编辑&#xff1a;ll FQL40N50-ASEMI代理安森美原装MOS管FQL40N50 型号&#xff1a;FQL40N50 品牌&#xff1a;ON/安森美 封装&#xff1a;TO-264 最大漏源电流&#xff1a;40A 漏源击穿电压&#xff1a;500V RDS&#xff08;ON&#xff09;Max&#xff1a;110mΩ 引脚数…

webpack自动引入打包资源HtmlWebpackPlugin

在之前的章节中我们每次打包完之后都是手动的在public/index.html中通过<script>的方式手动引入的dist/js/main.js文件。用过框架开发的小伙伴应该都有体会过&#xff0c;比如vue-cli,每次打包完我们直接将dist目录下的文件整个拷贝直接部署到服务器下就行了&#xff0c;…

(一)初识 Kafka

文章目录 1.发布与订阅消息系统&#xff08;1&#xff09;什么是发布与订阅消息系统&#xff08;2&#xff09;为什么 Kafka 是数据驱动型应用程序的关键组件 2. Kafka 介绍&#xff08;1&#xff09;消息和批次&#xff08;2&#xff09;消息模式&#xff08;3&#xff09;主题…

如何防范银行网点潜在风险?这4点一定要记牢

银行作为金融机构&#xff0c;具有重要的资金和客户信息&#xff0c;其安全性和监控是至关重要的。银行网点监控能够有效保护银行资产&#xff0c;确保员工和客户的安全&#xff0c;预防潜在的犯罪行为。 客户案例 上海市某银行在全国多地拥有大量分支机构和网点。他们面临着需…

使用Red Hat Insights注册RedHat系统

文章目录 前因Step 1: 确认所选择的系统Step 2: 将系统注册到Red Hat InsightsStep 3:具体操作演示 前因 使用SSH命令远程连接红帽系统&#xff0c;提示需要使用下面提示的命令进行系统注册订阅。 C:\Users\xyb>ssh -i xybdiy-aws-key.pem ec2-user18.179.118.78 The authen…

vue中重写并自定义console.log

0. 背景 在vue2项目中自定义console.log并输出文件名及行、列号 1. 实现 1.1 自定义console.log export default {// 输出等级: 0-no, 1-error, 2-warning, 3-info, 4-debug, 5-loglevel: 5,// 输出模式: 0-default, 1-normal, 2-randommode: 1,// 是否输出图标hasIcon: fal…

数组判断某个属性是否都相同

一、 // 判断属性是否存在isPropertyAllSame(array, property) {if (array.length 0) {return true; // 空数组默认属性全部相同}const firstPropertyValue array[0][property]; // 取第一个元素的属性值for (let i 1; i < array.length; i) {if (array[i][property] ! f…

5.2.10 IP分组的转发(一)

5.2.10 IP分组的转发&#xff08;一&#xff09; 我们已经知道对于IP协议来说提供的是无连接、不可靠、尽力而为的IP分组交付服务&#xff0c;这里我们就学习一下一个IP分组是如何从源主机交付给目的主机的。如果在因特网上有两台主机发送数据的时候&#xff0c;分组究竟是如何…

轻松下载google drive大文件 IDM微操教程

背景 在google drive使用chrome浏览器自带的下载工具&#xff0c;下载时总是报错&#xff1a; 于是在网上搜索"下载google drive 大文件"&#xff0c;看到有人提到了IDM和gdown。最终用IDM解决了需求。从下图可见&#xff0c;文件有99GB&#xff0c;每秒下载速度10…

媒体分类详解,企业做活动可以邀请哪些媒体?

传媒如春雨&#xff0c;润物细无声&#xff0c;大家好&#xff0c;我是51媒体网胡老师。 媒体分类可以根据不同的维度进行划分。以下是一些常见的媒体分类方式&#xff1a; 1. 传统媒体&#xff1a; - 报纸&#xff1a;报纸是最传统的媒体形式之一&#xff0c;以印刷纸质媒体为…

华为OD机试真题 JavaScript 实现【DNA序列】【牛客练习题】

一、题目描述 一个 DNA 序列由 A/C/G/T 四个字母的排列组合组成。 G 和 C 的比例&#xff08;定义为 GC-Ratio &#xff09;是序列中 G 和 C 两个字母的总的出现次数除以总的字母数目&#xff08;也就是序列长度&#xff09;。在基因工程中&#xff0c;这个比例非常重要。因为…

SpringBoot:SpringBoot启动加载过程 ④

一、思想 我们看到技术上高效简单的使用&#xff0c;其实背后除了奇思妙想的开创性设计&#xff0c;另一点是别人帮你做了复杂繁琐的事情。 二、从官网Demo入手 官网就一行代码。这个就是它的启动代码。 1、SpringBootApplication注解 ①. 三个核心注解的整合。 SpringBootCon…

什么是微带线和带状线

在电路板设计中&#xff0c;微带线和带状线分别是用于传输信号的两种常见的传输线路。虽然在许多方面它们很相似&#xff0c;但是它们的物理结构、传输速率、特性阻抗等方面存在很大的差异。 本文将介绍微带线和带状线的基本概念、特性和应用场景&#xff0c;并比较它们的优缺…

Snap版本的CUPS将在Ubuntu 23.10 中默认使用

导读CUPS 是一个用于 Linux 系统的开源模块化打印系统&#xff0c;最初由 Michael Sweet 开发。在 2007 年&#xff0c;苹果公司收购了 CUPS&#xff0c;并聘请了 Michael Sweet 继续开发。 CUPS 是一个用于 Linux 系统的开源模块化打印系统&#xff0c;最初由 Michael Sweet …