CoInitialize浅析二

最近工作比较忙，在粗略分析了CoInitialize之后我们一直没有再深入研究，下面言归正传。前面我们初步了解到了CoInitialize其实是通过调用CoInitializeEx来实现功能的，而后者最终调用了wCoInitializeEx函数，如果能进一步了解这个函数的内部实现，那么我们对COM环境的初始化过程就比较清晰了。好，我们下面继续看wCoInitializeEx的汇编代码，这次我们分段来看。

769AF092 arg_0           = dword ptr  8
769AF092 arg_4           = byte ptr  0Ch
769AF092                 mov     edi, edi
769AF094                 push    ebp
769AF095                 mov     ebp, esp
769AF097                 push    ebx
769AF098                 push    esi
769AF099                 push    edi
769AF09A                 mov     edi, ds:[email protected] ; InterlockedIncrement(x)
769AF0A0                 push    offset [email protected]@3KA ; lpAddend
769AF0A5                 call    edi ; InterlockedIncrement(x) ; InterlockedIncrement(x)
769AF0A7                 cmp     eax, 1
769AF0AA                 mov     esi, [ebp+arg_0]
769AF0AD                 jz      loc_769CA020
函数一开始先将全局变量g_cProcessInits加1，后面还比较了加1后变量的值是否为1，因此这应该是一个计数器，并且在第一次执行函数时会进行一些额外的操作，具体如下：

769CA020 loc_769CA020:
769CA020                 call    [email protected]@YGJXZ ; ProcessInitialize(void)
769CA025                 test    eax, eax
769CA027                 mov     [ebp+arg_0], eax
769CA02A                 jge     loc_769AF0B3
769CA030                 jmp     loc_76A0B96F
果然，在g_cProcessInits为1的时候，也就是第一次执行wCoInitializeEx的时候，会调用ProcessInitialize，在这里执行了进程范围内全局性的初始化操作，具体是什么操作我们暂时不关心，初始化成功则返回值大于等于0，否则小于0，我们沿着正确的路径往下看。

769AF0B3 loc_769AF0B3:
769AF0B3                 test    [ebp+arg_4], 2
769AF0B7                 mov     eax, [esi]
769AF0B9                 jz      loc_769DAFB7
判断第二个参数，即传入的dwCoInit是否设置了COINIT_APARTMENTTHREADED标识，这里应该是整个函数的一个分水岭，单线程套间和多线程套间的执行从此开始走向不同的方向，本文只研究单线程套间的后续执行情况。

769AF0BF                 or      byte ptr [eax+0Ch], 80h
769AF0C3                 test    [ebp+arg_4], 4
769AF0C7                 jz      short loc_769AF0CF
将在CoInitializeEx中分配的SOleTlsData的dwReserved0[1]域的第7位（由低到高从第0位开始）置1后，检查dwCoInit参数是否设置了COINIT_DISABLE_OLE1DDE标识，该标识的意义是为支持Ole1而禁用DDE，如果设置了，我们会看到。

769AF0C9                 mov     eax, [esi]
769AF0CB                 or      dword ptr [eax+0Ch], 40h
上面只是简单地将在CoInitializeEx中分配的SOleTlsData的dwReserved0[1]域的第2位（由低到高从第0位开始）置1，因此我认为SOleTlsData中dwReserved0[1]域的第7位标识了COM套间是单线程套间还是多线程套间，第2位标识了DDE是否禁用，上述操作只有在dwCoInit参数的COINIT_DISABLE_OLE1DDE标识被设置时才执行。

769AF0CF loc_769AF0CF:
769AF0CF                 mov     eax, [esi]
769AF0D1                 push    4
769AF0D3                 push    1
769AF0D5                 push    esi
769AF0D6                 lea     ecx, [eax+50h]
769AF0D9                 push    ecx
769AF0DA                 add     eax, 3Ch
769AF0DD                 push    eax
769AF0DE                 call    [email protected]@[email protected]@[email protected]@[email protected]@[email protected]@@Z ; InitThreadCtx(CObjectContext * &,CComApartment * &,COleTls &,int,tagAPTKIND)
769AF0E3                 test    eax, eax
769AF0E5                 mov     [ebp+arg_0], eax
769AF0E8                 jl      loc_76A0B96F
我们可以看到后面又调用了InitThreadCtx，这个线程中分配了CObjectContext对象实例以及CComApartment对象实例并将其指针分别传入的前两个参数中。从这里我们大概可以猜测到SOleTlsData向后偏移60个字节和80个字节处分别存放了CObjectContext指针和CComApartment指针。不过SOleTlsData结构自身的大小只有60字节，因此在SOleTlsData结构后面肯定还有其他数据结构存在，这部分内存在什么地方分配的呢？再回到CoInitializeEx函数中调用的COleTls::TLSAllocData观察，发现其中分配了288个字节，根据前面的分析，这里分配的应该是COleTls对象，而SOleTlsData是其中第一个成员，其第二个成员应该就是CObjectContext，而CComApartment指针在CObjectContext指针之后16个字节。

769AF0EE                 mov     ebx, offset [email protected]@3KA ; ulong g_cSTAInits
769AF0F3                 push    ebx             ; lpAddend
769AF0F4                 call    edi ; InterlockedIncrement(x) ; InterlockedIncrement(x)
769AF0F6                 cmp     eax, 1
769AF0F9                 jz      loc_769CA351
线程上下文初始化成功后，g_cSTAInits加1并判断其加1后的值是否等于1，这里应该又是判断是否第一个执行，我们继续看。

769CA351 loc_769CA351:
769CA351                 call    [email protected]@YGJXZ ; RegisterOleWndClass(void)
769CA356                 test    eax, eax
769CA358                 mov     [ebp+arg_0], eax
769CA35B                 jge     loc_769AF0FF
769CA361                 jmp     loc_76A0B956
这里注册了一个名为“OleMainThreadWndClass”的窗口类并将返回的窗口类的唯一标识存放在全局变量中供后续程序使用。注册成功后来到这里：

769AF0FF loc_769AF0FF:
769AF0FF                 cmp     [email protected]@3KA, 0 ; ulong gdwMainThreadId
769AF106                 jz      loc_769CA3CD
可以看到判断保存线程ID的全局变量是否为0，如果为0则：

769CA3CD loc_769CA3CD:
769CA3CD                 call    [email protected]@YGJXZ ; InitMainThreadWnd(void)
769CA3D2                 test    eax, eax
769CA3D4                 mov     [ebp+arg_0], eax
769CA3D7                 jge     loc_769AF10C
769CA3DD                 jmp     loc_76A0B95F
又执行了一个函数，这个函数中先检查当前线程是否某个特殊线程，即满足某个全局变量为非空且当前线程的SOleTlsData.dwReserved0[1]的第4位被置1。然后就创建一个之前注册的窗口类的隐藏窗口并保存该窗口的句柄，接着保存当前线程ID到全局变量后函数执行结束。创建窗口调用的是CreateWindowEx函数，第9个参数即父窗口的句柄为HWND_MESSAGE，也就是说创建了一个message-only的窗口。这种窗口可以用来发送和接收消息，不可见、没有Z-Order属性、不能被枚举、不能接收广播消息，Windows仅仅是简单地向其派发消息。由此，我们可以看出对于单线程套间，第一个调用CoInitialize函数的线程中会创建一个隐藏窗口，后续对COM组件的调用都是以消息的形式将请求发送至该隐藏窗口，在其消息处理函数中进行处理，也就是说Windows利用消息机制将对COM组件的调用请求进行了串行化，这就降低了对COM组件的多线程同步要求，但反过来也影响了效率。后续我们会进一步分析来验证单线程套间中，COM请求是否最终通过消息机制得以实现的。

769AF10C loc_769AF10C:
769AF10C                 cmp     [email protected]@[email protected]@A, 0 ; CComApartment * gpNTAApartment
769AF113                 jz      loc_769CA22A
这里比较某个全局指针是否为空，如果为空也就是说在第一次调用CoInitialize时要对其进行初始化，若不为空则wCoInitializeEx就直接返回0结束了。我们继续看看该指针为空的情况：

769CA22A loc_769CA22A:
769CA22A                 call    [email protected]@YGJXZ ; InitializeNTA(void)
769CA22F                 test    eax, eax
769CA231                 mov     [ebp+arg_0], eax
769CA234                 jge     loc_769AF119
这里主要是调用了一个InitializeNTA函数，这个函数中只是重新分配了一个CObjectContext对象和CComApartment对象，并将CObjectContext指针保存到SOleTlsData的pCurrentCtx中，随后还调用了其某个成员函数；将CComApartment指针保存到全局变量中；这个函数的最终用意还不是非常了解。

后续的工作就比较简单了，主要是释放之前分配的对象，置一些标志位等操作，这里就不再一一细究了。