segmentation fault分析方法
转载自:https://www.jianshu.com/p/66e9bc3b4988
相信写c/c++程序的coder, segmentation fault的问题碰到不少,趁最近有时间总结一下分析此类错误的方法。
1. 段错误是什么
一句话来说,段错误是指访问的内存超出了系统给这个程序所设定的内存空间,例如访问了不存在的内存地址、访问了系统保护的内存地址、访问了只读的内存地址等等情况。这里贴一个对于“段错误”的准确定义(https://en.wikipedia.org/wiki/Segmentation_fault):
In computing, a segmentation fault (often shortened to segfault) or access violation is a fault, or failure condition, raised by hardware with memory protection, notifying an operating system (OS) the software has attempted to access a restricted area of memory (a memory access violation). On standard x86 computers, this is a form of general protection fault. The OS kernel will, in response, usually perform some corrective action, generally passing the fault on to the offending process by sending the process a signal. Processes can in some cases install a custom signal handler, allowing them to recover on their own,[1] but otherwise the OS default signal handler is used, generally causing abnormal termination of the process (a program crash), and sometimes a core dump.
2. 段错误产生的原因
- 访问不存在的内存地址
- 访问系统保护的内存地址
- 访问只读的内存地址
- 栈溢出
3. 分析段错误的方法
Item 1: log大法
最简单粗暴的方法,也确实很有效,但有时log也看不出什么。
为了方便使用这种方法,可以使用条件编译指令#ifdef DEBUG和#endif把printf函数包起来。这样在程序编译时,如果加上-DDEBUG参数就能查看调试信息;否则不加该参数就不会显示调试信息。
Item 2: 自定义segv handler和添加backtrace()
- 示例代码
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>
#include <execinfo.h>
#include <signal.h>
int *result = 0;
void add(int a, int b)
{
*result = a + b;
}
void subtract(int a, int b)
{
*result = a - b;
}
void handler(int sig) {
void *array[10];
size_t size;
// get void*'s for all entries on the stack
size = backtrace(array, 10);
// print out all the frames to stderr
fprintf(stderr, "Error: signal %d:\n", sig);
backtrace_symbols_fd(array, size, STDERR_FILENO);
exit(1);
}
int main()
{
signal(SIGSEGV, handler); // install our handler
int ret;
int pagesize;
// 获取操作系统一个页的大小, 一般是 4KB == 4096
pagesize = sysconf(_SC_PAGE_SIZE);
printf("pagesize is: %d Byte\n", pagesize);
if (pagesize == -1) {
perror("sysconf");
return -1;
}
// 按页对齐来申请一页内存, result会是一个可以被页(0x1000 == 4096)整除的地址
ret = posix_memalign((void**)&result, pagesize, pagesize);
printf("posix_memalign mem %p\n", result);
if (ret != 0) {
// posix_memalign 返回失败不会设置系统的errno, 不能用perror输出错误
printf("posix_memalign fail, ret %u\n", ret);
return -1;
}
add(1, 1); // 结果写入 *result
printf("the result is %d\n", *result);
// 保护result指向的内存, 权限设为只读
ret = mprotect(result, pagesize, PROT_READ);
if (ret == -1) {
perror("mprotect");
return -1;
}
subtract(1, 1); // 结果写入 *result, 但是 *result 只读, 引发segment fault
printf("the result is %d\n", *result);
free(result);
return 0;
}
- 编译,需加-g选项
g++ -g -o mproject_test mproject_test.cc
- 运行命令
./mproject_test 2>&1 |cut -d '[' -f 2|grep -o '0x[0-9a-z].*' | xargs addr2line -Cfe mproject_test
运行结果
handler(int)
??:0
??
??:0
subtract(int, int)
??:0
main
??:0
??
??:0
_start
??:0
??
??:0
可以看到在函数subtract出崩溃了。
由于捕获了segv信号,所以不会产生core文件,也不会有dmesg记录,其中addr2line可以将出错的地址转换为对应的函数和代码地址(在ubuntu上始终没看到代码的行数,在centos上可以)。
Item 3: dmesg + objdump
注释掉C代码中的signal(SIGSEGV, handler);,程序中则不会处理SIGSEGV信号,执行时会在dmesg中留下记录,此时可以用objdump -d解析出汇编代码,找到发生crash时的地址(注意不要用-O优化,否则编译器优化了汇编)。
- dmesg查看段错误信息
dmesg | tail
[257215.924911] e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
[257526.392613] e1000: eth0 NIC Link is Down
[257528.397505] e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
[257669.623324] mproject_test[29542]: segfault at 180c000 ip 000000000040083c sp 00007fffcb1018e0 error 7 in mproject_test[400000+1000]
出错的地址是000000000040083c
- 使用objdump反汇编
objdump -d mproject_test > mproject_test.dump
- 在反汇编文件中分析
$ vi mproject_test.dump
0000000000400825 <_Z8subtractii>:
400825: 55 push %rbp
400826: 48 89 e5 mov %rsp,%rbp
400829: 89 7d fc mov %edi,-0x4(%rbp)
40082c: 89 75 f8 mov %esi,-0x8(%rbp)
40082f: 48 8b 05 42 08 20 00 mov 0x200842(%rip),%rax # 601078 <result>
400836: 8b 55 fc mov -0x4(%rbp),%edx
400839: 2b 55 f8 sub -0x8(%rbp),%edx
40083f: c3 retq
可以看到出错的地方在subtract函数
Item4: 使用catchsegv
catchsegv命令专门用来扑获段错误,它通过动态加载器(ld-linux.so)的预加载机制(PRELOAD)把一个事先写好的库(/lib/libSegFault.so)加载上,用于捕捉断错误的出错信息。
$ catchsegv ./mproject_test
Backtrace:
??:0(_Z8subtractii)[0x40083c]
??:0(main)[0x4009ab]
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xed)[0x7ff4721747ed]
??:0(_start)[0x400719]
Item 5: gdb + core
这种方式也很常用,找到发生segv或异常的地方,然后bt,就能发现引起crash的codepath。这种方法需要core文件足够大,在这里就不说了