前言
发现的问题如标题,本文记录发现、查找、解决问题的过程,中间记录的一些步骤是弯路,但我认为依旧有一些用途,各种工具的用法依旧有一些意义。
发现有道词典取词会导致QT卡顿
最近在着手公司内部模拟器的研发工作,我个人的电脑上,模拟器会时不时卡顿,而在公司配置全面更低的PC设备上就没有卡顿。
检查无果后,尝试清掉所有软件后台,发现模拟器突然不卡了,于是反复尝试开关后台,最终定位到有道词典;并且我发现当我的鼠标一直移动时,软件没有卡顿,只有当移动停止,且鼠标还在软件窗口中时才会卡顿,这和取词功能的逻辑很像,因此理所当然定位到卡顿是取词功能导致的。
为什么我们的软件会在取词开启后卡顿呢?首先需要确定是哪一层导致的,QT?glfw?wgl?Opengl?尝试百度QT、有道词典、卡顿,发现了一些结果,同事尝试用最简单工程复现问题,他用WebEngine打开一个带动态的网页,也复现了这个问题,说明就是QT导致的软件卡顿。
卡顿的是dll内部逻辑
有道词典取词是如何导致应用卡顿的?一般应用是用dll介入其他进程,所以我先弄了一个最简化的QT播放GIF窗口,用Process Explorer查看窗口进程的module,果然发现了有道词典的dll:
绿色代表新增的dll,增加的时机不是窗口打开时,而是开启取词后,第一次鼠标悬停时。并且尝试关闭取词后,dll会从module中消失。
单独增加dll可能不能佐证是dll逻辑导致的耗时,我用VS的性能诊断工具(调试>窗口>显示诊断工具),发现卡顿峰值的主要消耗,果然在dll中:
可以发现上层堆栈是QEventDispatcherWin32::processEvents,并且我编译了QT源码,能定位到QT是调用了PeekMessage,因此dll里应该类似一个窗口过程Proc函数,但没有有道词典的符号表,没法深究里面过多的逻辑。
我尝试用上述函数地址+ida附加应用,简单定位到耗时函数本体:
函数地址需要先直接启动qt的exe本身(可能要部署不然缺dll),然后ProcessExplorer获取进程号,VS通过进程号附加到进程,用上述方法获取dll内函数地址,函数地址是根据dll基址变化的,可能多次运行不变,但不保证一定不变。
然后再用ida附加到进程,按
G输入地址跳转,然后附加断点,鼠标悬停到窗口复现卡顿逻辑,命中断点。上述逻辑就是简单判定下:
TextExtractorImpl64.dll:00007FFD6FE23B06 ; ---------------------------------------------------------------------------
TextExtractorImpl64.dll:00007FFD6FE23B06 mov cs:dword_7FFD700C3008, ebp //寄存器值存入内存
TextExtractorImpl64.dll:00007FFD6FE23B0C mov rbp, [rsp+30h] //偏移量的数据([rsp+30h])加载到 rbp 寄存器中
TextExtractorImpl64.dll:00007FFD6FE23B11 cmp dword ptr [rbx+8], 20Ah //[rbx+8]与0x20A比较,怀疑rbx是CWPSTRUCT的指针,+8偏移是message,0x020A是WM_MOUSEWHEEL
TextExtractorImpl64.dll:00007FFD6FE23B18 jnz short loc_7FFD6FE23B26 //如果不相等则跳转到 loc_7FFD6FE23B26,既textextractorimpl64_GetTextData_Impl
TextExtractorImpl64.dll:00007FFD6FE23B1A call cs:off_7FFD6FFED850
TextExtractorImpl64.dll:00007FFD6FE23B20 mov cs:dword_7FFD700AC0E4, eax
TextExtractorImpl64.dll:00007FFD6FE23B26
TextExtractorImpl64.dll:00007FFD6FE23B26 loc_7FFD6FE23B26: ; CODE XREF: TextExtractorImpl64.dll:textextractorimpl64_GetTextData_Impl+AE8↑j
TextExtractorImpl64.dll:00007FFD6FE23B26 mov r9, rbx
TextExtractorImpl64.dll:00007FFD6FE23B29 mov r8, rdi
TextExtractorImpl64.dll:00007FFD6FE23B2C mov edx, esi
TextExtractorImpl64.dll:00007FFD6FE23B2E xor ecx, ecx
TextExtractorImpl64.dll:00007FFD6FE23B30 mov rbx, [rsp+38h]
TextExtractorImpl64.dll:00007FFD6FE23B35 mov rsi, [rsp+48h]
TextExtractorImpl64.dll:00007FFD6FE23B3A add rsp, 20h
TextExtractorImpl64.dll:00007FFD6FE23B3E pop rdi
TextExtractorImpl64.dll:00007FFD6FE23B3F jmp cs:off_7FFD6FFEDE28
TextExtractorImpl64.dll:00007FFD6FE23B3F ; ---------------------------------------------------------------------------
意思是如果鼠标滚轮一直滚动则调用cs:off_7FFD6FFED850,否则跳转到loc_7FFD6FE23B26,这个逻辑猜测是有道词典判断如果用户一直在滚轮就没有取词的必要,我尝试了下,一直滚轮时鼠标移动后悬停确实不会卡顿。
也可以发现上述导致卡顿的路径loc_7FFD6FE23B26-> TextExtractorImpl64.dll:textextractorimpl64_GetTextData_Impl是这个dll的导出函数之一,用dumpbin:
> dumpbin /exports TextExtractorImpl64.dll
//...
ordinal hint RVA name
1 0 00003030 GetTextData_Impl
2 1 00002F50 GetWordFromScreen_Impl
3 2 00002E60 InstallHook_Impl
通过禁止dll注入防止应用卡顿
知道是dll内部逻辑导致卡顿,只要不让dll注入就好了,反正我们模拟器也不需要支持取词功能,我需要知道dll是怎么被注入进来的。
Process Moniter软件能监控应用读写文件,打开dll自然在其范围内,我用Process Monitor定位窗口、清空事件,并且关闭重开取词,开启事件监控,复现鼠标悬停,果然发现dll文件打开的事件,同时得到了函数调度的堆栈:
17 KERNELBASE.dll LoadLibraryExW + 0x162 0x7ffe43f654c2 C:\Windows\System32\KERNELBASE.dll
18 USER32.dll InitDManipHook + 0x7d7 0x7ffe443c2ac7 C:\Windows\System32\USER32.dll
19 ntdll.dll KiUserCallbackDispatcher + 0x24 0x7ffe46370ef4 C:\Windows\SYSTEM32\ntdll.dll
20 ntoskrnl.exe KeUserModeCallback + 0x1e5 0xfffff80475c43dd5 C:\Windows\system32\ntoskrnl.exe
21 win32kfull.sys EditionKeyEventLLHook + 0xcbe 0xffffed58d906127e C:\Windows\System32\win32kfull.sys
22 win32kfull.sys EditionKeyEventLLHook + 0x548 0xffffed58d9060b08 C:\Windows\System32\win32kfull.sys
23 win32kfull.sys xxxUpdateInputHangInfo + 0x4beb 0xffffed58d8fe792b C:\Windows\System32\win32kfull.sys
24 win32kfull.sys xxxUpdateInputHangInfo + 0x413a 0xffffed58d8fe6e7a C:\Windows\System32\win32kfull.sys
25 win32kfull.sys NtUserPeekMessage + 0xf69 0xffffed58d8fe2019 C:\Windows\System32\win32kfull.sys
26 win32kfull.sys NtUserPeekMessage + 0x158 0xffffed58d8fe1208 C:\Windows\System32\win32kfull.sys
27 win32k.sys EngSaveFloatingPointState + 0x2abe 0xffffed58d81f71ae C:\Windows\System32\win32k.sys
28 ntoskrnl.exe setjmpex + 0x82a5 0xfffff80475a0caf5 C:\Windows\system32\ntoskrnl.exe
29 win32u.dll NtUserPeekMessage + 0x14 0x7ffe43a01064 C:\Windows\System32\win32u.dll
30 USER32.dll PeekMessageW + 0x1e3 0x7ffe443aa5c3 C:\Windows\System32\USER32.dll
31 USER32.dll PeekMessageW + 0x143 0x7ffe443aa523 C:\Windows\System32\USER32.dll
32 Qt5Cored.dll QEventDispatcherWin32::processEvents + 0x27b, E:\Project\*****\qt-everywhere-src-5.15.15\qtbase\src\corelib\kernel\qeventdispatcher_win.cpp(543) 0x7ffd339a1fbb E:\Project\*****\qtanimproj\x64\Debug\Qt5Cored.dll
通过gpt和谷歌,判断出这应该是SetWindowsHookEx方式能得到的函数堆栈,这种注入dll方式可以注册全局窗口Hook事件,能在鼠标键盘事件响应时,篡改自己的逻辑。
同时可以发现,最终加载DLL的是KERNELBASE.dll的LoadLibraryExW方法,于是我尝试用微软的Detour库Hook这个方法绕过有道词典dll的注入,成功将有道词典的dll拦截在外,完成任务:
typedef HMODULE(WINAPI* LoadLibraryExW_t)(LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags);
LoadLibraryExW_t TrueLoadLibraryExW = NULL;
HMODULE WINAPI HookedLoadLibraryExW(LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags)
{
if (wcsstr(lpLibFileName, L"TextExtractorImpl64.dll") != NULL)
{
std::wcout << L"Blocked DLL load: " << lpLibFileName << std::endl;
return NULL;
}
return TrueLoadLibraryExW(lpLibFileName, hFile, dwFlags);
}
void HookLoadLibraryExW()
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
TrueLoadLibraryExW = (LoadLibraryExW_t)GetProcAddress(GetModuleHandle(L"KERNELBASE.dll"), "LoadLibraryExW");
DetourAttach(&(PVOID&)TrueLoadLibraryExW, HookedLoadLibraryExW);
DetourTransactionCommit();
}
中间也遇到了一个坑,实际上我在用ProcessMonitor前就尝试Hook LoadLibraryExW,包括其他LoadLibrary变体,但没有Hook上,因为一开始是用kernal32.dll加载的方法,地址与KERNALBASE.dll不同,导致没成功拦截到TextExtractorImpl64.dll。
其他工作
实际上不拦截dll应该也能完成任务,我尝试用ProcessExplorer查看其他模拟器,Mumu、逍遥模拟器都是QT窗口,也能看到有道词典的dll,但不卡顿,而且逍遥模拟器的QT不是自编译的,也就是说即使不自编译QT应该也能解决这个问题。
还有其他窗口程序,例如鸣潮的launcher,也是QT窗口,ProcessExplorer未检测到有道词典的dll,发现是因为这些launcher一般有管理员权限,有道词典可能没有往里附加dll的权限。
我尝试得到QT窗口如何与有道词典进行通信的,我使用Spy++(一般在C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\Tools),刚才就是用它确定窗口类名,来确定窗口是QT的,现在定位窗口(如果spy++在窗口之前打开,需要先刷新),右键打开菜单选“消息”,菜单栏点消息>消息选项,在窗口页>其他窗口选择系统中的所有窗口>确定。
这时候Message窗口会使劲刷消息,将消息保存后,发现隔一段时间会有相关消息:
<005408> 0001079A S message:0x0830 [用户定义:WM_USER+1072] wParam:000E2E60 lParam:00000000
//....
<005411> 0001079A R message:0x0830 [用户定义:WM_USER+1072] lResult:00000001
其中 0001079A是有道词典窗口的句柄,000E2E60是目标窗口的句柄
